16 kw. Rejestry, polityki i inne – czyli nowa dokumentacja ODO

Dodane 09:12 w Ochrona danych osobowych | RODO, RODOponiedziałki autor:

Unijne rozporządzenie wprowadza nowe rodzaje dokumentów, do których wypracowania i prowadzenia obowiązane są podmioty przetwarzające dane osobowe. Celowo nie mówimy w tym miejscu jedynie o administratorach – przepisy wprowadzają dodatkowe obowiązki dokumentacyjne również dla procesorów (podmioty przetwarzające dane na zlecenie administratora) oraz przedstawicieli administratorów, którzy nie posiadają jednostek organizacyjnych na obszarze UE.

Nasz poprzedni wpis dotyczył chyba najbardziej „rewolucyjnego”, jak się może wydawać, dokumentu –  oceny skutków przetwarzania dla ochrony danych (DPIA). Nie będziemy powielać w tym miejscu rozważań na temat tego, kiedy należy DPIA przeprowadzać, a zainteresowanych tematem zachęcamy do zapoznania się z naszym poprzednim tekstem.

Nowością są także dwa rejestry, do prowadzenia których RODO zobowiązuje podmioty przetwarzające dane: rejestr czynności przetwarzania (dedykowany administratorom) oraz rejestr kategorii czynności przetwarzania (prowadzić mają go podmioty przetwarzające dane na zlecenia administratora). Artykuł 30 RODO wprowadza wytyczne dotyczące obu rejestrów. Szczegółowe wskazówki w tym zakresie opublikował niedawno GIODO.

W czym rzecz?

Poszczególne „czynności przetwarzania” należy determinować za pośrednictwem celów, dla których dane są zbierane. Ważne, by uwzględnić wszystkie operacje przetwarzania realizowane dla wszystkich określonych dla danego procesu celów, tak by możliwe było dokonanie scharakteryzowania tego procesu w świetle kryteriów prawidłowości przetwarzania danych, czyli m.in. rozliczalności czy proporcjonalności.

Trudności może nastręczać rozumienie pojęcia odnoszącego się do rejestru, o którym mowa w art. 30 ust. 2 RODO – „rejestru kategorii czynności przetwarzania”. Pojęcie to powinniśmy utożsamiać z rodzajem usługi realizowanej przez podmiot przetwarzający dane na zlecenie administratora. Tym samym kategorią czynności przetwarzania będzie np. przechowywanie dokumentacji archiwalnej czy udostępnianie internetowej platformy rekrutacyjnej na potrzeby administratora oraz wykonywanie usług kadrowo-płacowych w ramach outsourcingu.

RODO wskazuje wprost w art. 30 ust. 1-2 na obligatoryjne elementy każdego z rejestrów. Poza intuicyjnymi elementami takimi jak dane administratora i współadministratora, cele przetwarzania czy opis kategorii osób, których dane podlegają przetwarzaniu, rejestr powinien wskazywać również planowane terminy usunięcia poszczególnych kategorii danych oraz zawierać ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

W ramach „kategorii odbiorców” zdaniem GIODO i z czym należy się zgodzić, nie jest wymagane wskazywanie wszystkich osób przetwarzających dane na podstawie upoważnienia w ramach organizacji, lecz jedynie podmiotów przetwarzających będących poza nią.

Rejestry – obowiązek dla wszystkich?

Obowiązek prowadzenia rejestrów nie będzie spoczywał na wszystkich podmiotach przetwarzających dane, ale tylko na tych, które zatrudniają co najmniej 250 osób (przy czym chodzi nie tylko o pracowników w rozumieniu Kodeksu pracy). Wyjątkiem będzie sytuacja, kiedy przetwarzanie, niezależnie od liczby pracowników, dokonywane przez te podmioty:

  • będzie mogło powodować ryzyko naruszenia praw i wolności osób których dane dotyczą,
  • nie będzie sporadyczne lub
  • będzie obejmowało szczególne kategorie danych osobowych takie jak m.in. dane dotyczące wyroków skazujących, dane o stanie zdrowia, dane biometryczne czy dane genetyczne.

Oba rejestry powinny być prowadzone w formie pisemnej lub elektronicznej. Ma to o tyle doniosłe znaczenie, że zgodnie z art. 35 ust. 4 RODO rejestry podlegają udostępnieniu organowi nadzorczemu na jego żądanie. Uchybienie obowiązkom w zakresie prowadzenia rejestrów stanowi przesłankę do nałożenia administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a RODO – w wysokości do 10 000 000 euro albo w wysokości do 2% jego całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

Warto w tym miejscu wskazać, że prowadzenie rejestru może stanowić doskonałe wsparcie dla opracowania oceny skutków przetwarzania danych, której specyfikę przybliżaliśmy w poprzednim wpisie. Ostatnią rubryką w każdej pozycji rejestru, jak wynika z opublikowanych przez GIODO wskazówek, jest ocena ryzyka. Zdaniem przedstawiciela Ministerstwa Cyfryzacji przypisując zabezpieczenia do każdej czynności przetwarzania danych osobowych, które umieszczone są w rejestrze, dostosowujemy je do ryzyka, które oceniliśmy w ramach DPIA.

Częściowo po staremu

Na podmiotach przetwarzających dane nadal spoczywać będzie obowiązek udzielania upoważnień dla osób przetwarzających dane wewnątrz organizacji. Odmienne zaś niż na podstawie dotychczasowych przepisów krajowych, nie będzie konieczne prowadzenie ewidencji udzielonych upoważnień. Dla celów kontrolnych czy porządkowych utrzymanie ewidencji wydaje się jednak dobrym pomysłem.

Wraz z wejściem w życie RODO zniknie obowiązek posiadania polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemami informatycznymi. Jak wynika jednak z motywu 78 RODO: aby móc wykazać przestrzeganie rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Ustawodawca zachęca więc do opracowywania polityk i procedur wewnętrznych, które będą ułatwiały organizacji radzenie sobie z kwestią danych osobowych. Dobrą praktyką może być zatem wprowadzenie np. polityki obchodzenia się z CV kandydatów do pracy i ich przepływu w ramach organizacji, wewnętrznej polityki poleceń kandydatów do pracy, polityki dotyczącej zasad zabezpieczenia urządzeń przenośnych w tym obchodzenia się z urządzeniami zbędnymi, polityki dostępu do skrzynek pocztowych i urządzeń osób nieobecnych czy polityki nadawania uprawnień w ramach systemów IT.

W ferworze przygotowywania zupełnie nowej i dotychczas nieznanej dokumentacji, nie należy zapominać o konieczności dostosowania do poszerzonych wymogów dla umów powierzenia przetwarzania danych czy treści klauzul obowiązków informacyjnych.

Niewątpliwie RODO wymaga odświeżenia dokumentacji przetwarzania danych osobowych, a także jej uzupełnienia o nowości. GIODO przedstawił wzory rejestrów, o których mowa w art. 30, jednak czas pokaże, na ile te propozycje spotkały się z aprobatą i na ile opracowywanie dodatkowych nieobligatoryjnych polityk, które przetwarzanie danych mają porządkować, przyjmie się na rynku.

 

Autor: Paulina Maślak-Stępnikowska

Powiązane wpisy:

Jedno szkolenie pracowników z danych osobowych wystarczy? Kontrola trzeźwości a RODOKontrola trzeźwości w pracy a RODO cyberbezpieczeństwoCyberbezpieczeństwo przedsiębiorców w świecie pełnym cyberzagrożeń
Tagi:
, , , , ,