Poradnik Przedsiębiorcy

Jakie są niezbędne dokumenty wymagane przez RODO?

Wejście w życie RODO spowodowało wzmożone zainteresowanie tematyką ochrony danych osobowych. To nie oznacza, że mamy do czynienia z rewolucją w zakresie dokumentacji, którą przedsiębiorca musi wytwarzać i gromadzić. Dokumentację tego typu należało mieć od dłuższego czasu. Można stwierdzić, że RODO wprowadziło nawet pewne rozluźnienie rygoru obowiązującego w tym obszarze. Regulacje unijne wprowadziły jednocześnie odpowiedzialność karno-administracyjną za niedopełnienie obowiązków w zakresie dokumentacji. Dlatego każdy przedsiębiorca powinien mieć świadomość, czego wymagają od niego nowe przepisy. Jakie są dokumenty wymagane przez rodo? Przeczytaj nasz artykuł i dowiedz się więcej

Dokumenty wymagane przez RODO

Bez wątpienia najbardziej istotny dokument, który powinien wytworzyć każdy przedsiębiorca zatrudniający jakichkolwiek pracowników, to rejestr czynności przetwarzania. 

Ponadto obowiązkiem dokumentacji objęto obszar naruszeń ochrony danych osobowych (art. 33 RODO). Po pierwsze, w przypadku wystąpienia takiego naruszenia przedsiębiorca bez zbędnej zwłoki – w miarę możliwości (jednak nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) – zgłasza je właściwemu organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych). Odstąpienie od tej czynności jest możliwe jedynie w przypadku, gdy jest mało prawdopodobne, że naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgłoszenie naruszenia powinno:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

W związku z wystąpieniem naruszenia ochrony danych osobowych administrator został zobowiązany do ich rzetelnego dokumentowania. Dokumentacji podlegają przede wszystkim okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator został zobowiązany do niezwłocznego zawiadomienia osoby, której dane dotyczą. Zawiadomienie takie powinno być napisane jasnym i prostym językiem oraz powinno opisywać charakter naruszenia. Wszystkie powyższe działania powinny znaleźć odzwierciedlenie w dokumentacji, która musi być jednoznaczna i przejrzysta, tak by pozwoliła organowi nadzorczemu na zweryfikowanie przestrzegania przepisów i słuszności podjętych działań.

Kolejne obowiązki prowadzenia dokumentacji wiążą się z prowadzeniem oceny skutków dla ochrony danych (art. 35 RODO) oraz uprzednimi konsultacjami z organem nadzorczym (art. 36 RODO). Szczegółom w tym zakresie poświęcono osobny artykuł: Czym jest ocena skutków dla ochrony danych (DPiA)?

To nie koniec dokumentacji – zasada rozliczalności w RODO

Przedstawione powyżej obowiązkowe elementy dokumentacji dotyczą przede wszystkim szczególnych okoliczności (naruszenie bezpieczeństwa danych osobowych) lub firm przetwarzających dane osobowe na dużą skalę (ocena skutków ochrony danych i uprzednie konsultacje). Jedynie rejestr czynności przetwarzania czy kategorii czynności przetwarzania jest obowiązkowy niemal w każdej firmie.

Czy zatem można zrezygnować z polityki bezpieczeństwa i innej dokumentacji, która obowiązywała przed wejściem w życie RODO? Przepisy RODO, mimo ogólnego i nieco pozornego rozluźnienia w zakresie obowiązku prowadzenia dokumentacji, nakładają na administratora odpowiedzialność za przestrzeganie przepisów oraz obowiązek wykazania ich przestrzegania (czyli tzw. rozliczalność).

Jest to pojęcie bardzo ogólne i dające przedsiębiorcy dużą swobodę. Nie należy jednak tego obowiązku bagatelizować, ponieważ w przypadku kontroli z Urzędu Ochrony Danych Osobowych właścicielowi firmy zabraknie argumentów, co może okazać się bardzo kosztowne.

Aby uniknąć problemów i w sposób skuteczny zapewnić sobie możliwość wykazania przed organem kontrolnym, że dba się o bezpieczeństwo danych osobowych, należy posiadać przynajmniej następującą dokumentację:

  1. Polityka bezpieczeństwa danych osobowych (nie należy jej mylić z polityką prywatności);

    1. dokument ten powinien zawierać:

      • ogólne zasady przetwarzania danych osobowych w firmie,
      • zasady dostępu do danych osobowych, czyli procedurę nadawania i anulowania upoważnień dla pracowników,

      • założenia dotyczące realizacji praw osób, których dane dotyczą,

      • zastosowanie środki bezpieczeństwa w zakresie ochrony danych osobowych (najlepiej z podziałem na techniczne i organizacyjne),

      • procedurę aktualizowania rejestru czynności przetwarzania,

      • procedurę zgłaszania incydentów (naruszeń) bezpieczeństwa danych osobowych,

      • procedurę sprawdzenia zgodności przetwarzania danych osobowych i doskonalenia polityki bezpieczeństwa danych osobowych;

  2. Instrukcja zarządzania systemem informatycznym.

    1. w mniejszych firmach, nieprzetwarzających danych na dużą skalę, można ją włączyć do polityki bezpieczeństwa danych osobowych;

    2. powinna zawierać m.in. opis zasad, procedur, środków bezpieczeństwa w związku z przetwarzaniem danych osobowych w programach komputerowych;

  3. Upoważnienia dla pracowników mających dostęp do danych osobowych.

    1. zaleca się również prowadzenie rejestru tych upoważnień zawierającego dane pracownika;

  4. Oświadczenia o poufności podpisane przez wszystkich pracowników pracujących z wykorzystaniem danych osobowych.

    1. oświadczenia takie zabezpieczają interesy przedsiębiorcy np. w przypadku ujawnienia, kradzieży danych osobowych przez pracownika;

  5. Klauzule informacyjne przedstawione osobom, których dane osobowe przetwarzamy.

    1. należy zadbać, aby właściwie skonstruowaną klauzulę informacyjną przedstawić każdej osobie, której dane osobowe się przetwarza;

    2. najlepiej, gdy posiada się pisemne oświadczenie osoby zapoznawanej, co w najlepszy sposób zabezpiecza interes przedsiębiorcy;

    3. jeśli ze względu na specyfikę i zakres przetwarzanych danych osobowych nie ma możliwości zebrania oświadczeń o zapoznaniu, należy wprowadzić procedury umożliwiające każdemu zainteresowanemu zapoznanie się z klauzulą informacyjną (w takim przypadku w interesie przedsiębiorcy leży, by udowodnić, że taka procedura istnieje i istniała w przeszłości);

    4. nie można zapominać, że klauzule informacyjne powinny być stosowane również w obszarze działalności internetowej, np. w zakresie kontaktu z klientami (w takim przypadku dokumentacja, o której mowa, będzie miała formę elektroniczną);

  6. Dokumentacja szkoleń.

    1. ponieważ administrator danych powinien realizować szkolenia dla pracowników w zakresie ochrony danych osobowych, warto posiadać dokumenty świadczące o ich przeprowadzeniu (np. harmonogram szkoleń wraz z listą obecności);

  7. Zgody osób, których dane są przetwarzane.

    1. zgoda osoby, której dane się przetwarza, jest jedną z podstaw dających przedsiębiorcy prawo do przetwarzania danych osobowych; w przypadku braku innych przesłanek do przetwarzania danych osobowych wynikających z RODO (art. 6), brak udokumentowanej zgody jest jednym z najpoważniejszych błędów, ponieważ czyni przetwarzanie danych nielegalnym;  

    2. zgoda nie jest wymagana, jeśli dane osobowe przetwarza się w celu realizacji umowy; zgoda jest niezbędna w sytuacji, gdy np. wykraczamy poza umowę lub jeszcze nie posiadamy umowy (np. zgoda dotycząca marketingu bezpośredniego lub zgoda na przetwarzanie danych osobowych w procesie rekrutacyjnym);

  8. Umowy powierzenia przetwarzania danych osobowych.

    1. każdy przedsiębiorca powierzając przetwarzanie danych osobowych innemu podmiotowi powinien dopilnować, aby powierzenie miało formę pisemną, która zobowiąże podmiot przetwarzający do utrzymania standardów gwarantujących bezpieczeństwo danych i zabezpieczy interesy administratora danych;

    2. warto dokonać przeglądu firm współpracujących i obszarów, jakich ta współpraca dotyczy, ponieważ może się okazać, że nieświadomie przekazuje się dane osobowe firmom, które na pozór nie mają nic wspólnego z przetwarzaniem danych osobowych (np. firmy usuwające odpady opakowaniowe, na których mogą znajdować się dane osobowe).

Jak widać, dokumentacji dotyczącej ochrony danych osobowych jest dużo. Trzeba jednak mieć na uwadze fakt, że główne koszty (związane przede wszystkim z czasem wymaganym na jej opracowanie i wprowadzenie) są ponoszone jednorazowo. Później powiela się jedynie wypracowane wzorce oraz aktualizuje wprowadzone dokumenty i procedury.

W zależności od wielkości przedsiębiorstwa i skali przetwarzania danych osobowych można modyfikować nieznacznie przedstawiony w artykule katalog dokumentacji, rozszerzając go lub ograniczając. Biorąc pod uwagę bilans poniesionych na wdrożenie dokumentacji kosztów i ewentualnych strat płynących z jej braku, nie ma wątpliwości, że warto poświęcić tej kwestii czas.