Przygotowania do spełniania wymagań RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zajmują obecnie większość przedsiębiorców, którzy przetwarzają dane osobowe. Wielu z nich w trakcie takich przygotowań zwraca uwagę, że przepisy rozporządzenia nie zawierają wielu wskazówek co do tego, jak od strony dokumentacyjnej, organizacyjnej oraz technicznej przygotować się do spełniania nowych wymagań.
25 maja 2018 r. zacznie być stosowane RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1). Weszło ono w życie już w maju 2016 r., ale za 72 dni upłynie dwuletni okres, który unijny legislator dał przedsiębiorcom na dostosowanie się do wymagań. W serii artykułów poradniczych przybliżamy najważniejsze zmiany i nowe obowiązki w zakresie ochrony danych osobowych wynikające z RODO.
W cyklu ukazały się teksty:
● „Jak przygotować się do lepszego chronienia przetwarzanych danych osobowych – niezbędnik przedsiębiorcy” – Firma i Prawo z 16 stycznia 2018 r. (DGP nr 11),
● „Wdrożenie czas zacząć. Jak podjąć przygotowania do stosowania RODO ” – Firma i Prawo z 30 stycznia 2018 r. (DGP nr 21),
● „Rejestrować czynności przetwarzania danych osobowych trzeba. Tylko jakie?” – Firma i Prawo z 6 lutego 2018 r. (DGP nr 26),
● „Jak zareagować na naruszenie ochrony danych osobowych” – FiP z 13 lutego 2018 r. (DGP nr 31),
● „Ocena skutków przetwarzania dla ochrony danych to wyzwanie dla firm” – FiP z 27 lutego 2018 r. (DGP nr 41).
W Polsce przedsiębiorcy przyzwyczajeni byli do korzystania ze szczegółowych wytycznych w tym zakresie zawartych w dotychczas obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych.
Takich wytycznych przedsiębiorcy nie znajdą w przepisach RODO. Prawodawca unijny celowo pozostawił sporą swobodę przedsiębiorcom w zakresie doboru środków, jakimi chcą chronić dane osobowe. Z jednej strony umożliwia to dobieranie przez przedsiębiorców najbardziej odpowiednich dla nich środków, z drugiej jednak pozostawia ich w stanie niepewności, czy środki, które wybrali, zostaną uznane za wystarczające.
ŚRODKI STOSOWANE DO TEJ PORY
Przedsiębiorcy polscy będący administratorami danych zobowiązani byli dotychczas zapewnić przygotowanie i wykorzystanie następujących dokumentów w zakresie ochrony danych osobowych:
wpolityka bezpieczeństwa,
winstrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
wupoważnienie do przetwarzania danych,
wewidencja osób upoważnionych do przetwarzania danych,
wumowa o powierzeniu przetwarzania,
wzgłoszenie zbiorów do rejestracji (jeśli administrator podlegał temu obowiązkowi).
Co z polityką bezpieczeństwa
W przepisach określona była dokładnie obowiązkowa treść polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Nawet jeśli informacje, które były wymagane tymi przepisami, nie miały realnego przełożenia na stosowane przez przedsiębiorców środki ochrony danych osobowych, musiały być zawarte we wskazanych dokumentach.
Podejście do takiej dokumentacji, wynikające z przepisów RODO, jest inne. Prawodawca unijny nie narzuca przedsiębiorcom konieczności przygotowania polityki bezpieczeństwa. Nie wskazuje też, co mogłoby lub powinno znaleźć się w takim dokumencie. Przedsiębiorcy przetwarzający dane osobowe mają więc znaczną swobodę w tym zakresie. Mogą się zdecydować na następujące rozwiązania:
wrezygnacja z tworzenia i stosowania polityki bezpieczeństwa,
wtworzenie i stosowanie nowej polityki bezpieczeństwa,
wwykorzystanie dotychczasowej polityki bezpieczeństwa i dostosowanie jej sposobu ochrony danych osobowych w danej organizacji,
wtworzenie i stosowanie innych niż polityka bezpieczeństwa dokumentów opisujących zasady ochrony danych osobowych.
Na konieczność tworzenia i stosowania polityk bezpieczeństwa czy podobnych dokumentów warto spojrzeć przez pryzmat zasady rozliczalności, wynikającej z art. 5 ust. 2 RODO. Administrator powinien być w stanie wykazać przestrzeganie przepisów RODO, w tym stosowanie odpowiednich środków organizacyjnych lub technicznych zapewniających bezpieczeństwo danych osobowych. Jedną z metod na wykazanie stosowania takich środków może być właśnie odpowiednio przygotowana i stosowana polityka bezpieczeństwa czy dokument o innej nazwie określający zasady ochrony danych osobowych w danym przedsiębiorstwie.
Rozwiązania stosowane w praktyce
W praktyce można zaobserwować, że przedsiębiorcy, przygotowując się do stosowania RODO, tworzą co najmniej jeden dokument o charakterze ogólnym, często nazywany polityką prywatności, oraz wiele dokumentów określających bardziej szczegółowo tryb działania w odniesieniu do poszczególnych obowiązków wynikających z przepisów RODO (np. procedura przetwarzania danych osobowych w dziale HR, procedura postępowania w przypadku naruszenia ochrony danych, procedura postępowania z archiwalnymi nośnikami danych).
WYMAGANIA STAWIANE PRZEZ RODO
Spośród dokumentów wymaganych wprost przepisami RODO, do przygotowania których zobowiązani są administratorzy, wymienić trzeba:
w rejestr czynności przetwarzania danych – czyli dokument zawierający zestawienie informacji o kategoriach osób i kategoriach danych, które administrator przetwarza, celach takiego przetwarzania, okresach przechowywania danych, odbiorcach danych i państwach trzecich, do których dane są przesyłane, a także o stosowanych organizacyjnych i technicznych środkach bezpieczeństwa;
w dokumentację naruszeń ochrony danych osobowych – w praktyce rejestr incydentów ochrony danych osobowych, do jakich doszło w ramach przedsiębiorstwa;
w umowy o powierzeniu przetwarzania danych osobowych – czyli dokumenty dotyczące relacji pomiędzy administratorem a podmiotem, któremu administrator zleca wykonanie czynności, z którymi wiąże się przetwarzanie danych osobowych.
Ponadto, mimo że nie wynika to wprost z przepisów RODO, konieczne jest przygotowanie także innych dokumentów ułatwiających wykazanie przestrzegania przepisów (w ramach stosowania zasady rozliczalności), takich jak:
w dokument obrazujący wykonanie oceny skutków przetwarzania dla ochrony danych – raport z analizy prawdopodobieństwa wystąpienia ryzyka naruszenia ochrony danych osobowych i wpływu takiego naruszenia na osoby, których dane dotyczą oraz z planowanych środków ograniczenia takiego ryzyka;
w dokument obrazujący zastosowanie zasady uwzględnienia ochrony danych osobowych w fazie projektowania – np. raport zawierający opis fazy planowania nowego sposobu przetwarzania danych osobowych lub ich przetwarzania z wykorzystaniem nowych narzędzi IT;
w dokument obrazujący zastosowanie zasady domyślnej ochrony danych – np. raport podsumowujący ustalenia co do zakresu danych niezbędnych dla osiągnięcia konkretnego celu przetwarzania.
W przepisach RODO brak jest wskazówek, jaka powinna być treść takich dokumentów. Każdy administrator może przyjąć swój sposób realizacji wymagań rozporządzenia w tym zakresie. W praktyce można jednak w niektórych państwach zaobserwować tendencję do tworzenia wzorów takich dokumentów i ich udostępniania publicznie (np. wzór raportu z dokonanej oceny skutków przetwarzania dla ochrony danych przygotowany przez francuski organ nadzorczy).
ZMIANY NA POZIOMIE ORGANIZACYJNYM
Wdrożenie wymagań RODO to nie tylko samo przygotowanie odpowiednich dokumentów. Istotą wdrożenia rozporządzenia jest doprowadzenie do stanu, w którym zasady ochrony danych osobowych stosowane są przez wszystkie osoby mające dostęp do danych w firmie.
Pierwszym krokiem do wdrożenia wymagań RODO jest podjęcie czynności mających na celu wykazanie spełniania podstawowych wymagań rozporządzenia do 25 maja 2018 r., czyli do daty rozpoczęcia pełnego stosowania RODO. Trzeba pamiętać jednak, że prawidłowe wdrożenie wymagań RODO to coś więcej niż tylko wykazanie przygotowania odpowiednich dokumentów na ten dzień. Wdrożenie RODO wymaga zaplanowania i podjęcia działań, które skutkują stosowaniem zasad ochrony danych osobowych na co dzień przez osoby upoważnione do przetwarzania danych. Związana może być z tym konieczność dokonania zmian organizacyjnych lub proceduralnych, a także zmian w takich dokumentach jak regulaminy.
U każdego przedsiębiorcy zakres zmian może być odmienny. Można jednak wskazać pewne obszary działań, które wymagają przemyślenia i zaplanowania, w jaki sposób przedsiębiorcy zapewnią stosowanie przez pracowników i współpracowników (a czasem także kontrahentów) nowych zasad ochrony danych osobowych w tych obszarach. [schemat]
Szersze uprawnienia osób to nowe wyzwania
W praktyce obserwujemy, że sporo zmian organizacyjnych i proceduralnych wywołuje obszar związany z korzystaniem z uprawnień przez osoby, których dane dotyczą. Chodzi tu o prawo do:
wdostępu do danych,
wżądania usunięcia danych,
wżądania ograniczenia przetwarzania,
wżądania sprostowania nieprawidłowych danych,
wsprzeciwu wobec przetwarzania,
wprzenoszenia danych.
Wyzwania, jakie związane są z organizacją wykonywania powyższych uprawnień, dotyczą przede wszystkim:
w możliwości wyszukania poszczególnych danych osobowych w różnych systemach informatycznych,
wskoordynowania działań różnych działów w firmie, które mogą mieć poszukiwane dane osobowe w systemach, którymi administrują, a także
wzapewnienia wykonania określonych działań na danych osobowych z uwzględnieniem rozproszonych baz danych.
Wprowadzenia zmian w organizacji działania wymagać może nawet kwestia koordynacji pobierania ewentualnych opłat za przygotowanie informacji na żądanie osoby, której dane dotyczą.
Z czym mogą być problemy
Przedsiębiorcy, którzy przetwarzają dane osobowe, mają przed sobą niełatwe zadanie zapewnienia wykonywania obowiązków wynikających z RODO do 25 maja br. Jednak jeszcze większym wyzwaniem może okazać się konieczność zapewnienia, by także po tej dacie przedsiębiorcy zapewniali wykonywanie tych obowiązków i rozliczalność z ich wykonywania. Ponieważ uzyskanie tego celu może wymagać (i najczęściej wymaga) dokonania pewnych zmian w organizacji funkcjonowania przedsiębiorstwa, warto sprawdzić, w jakich obszarach wymagane będą takie zmiany i zaplanować ich wdrożenie. Przedsiębiorcy powinni mieć świadomość, że odpowiedzialność za niewykonanie lub nieprawidłowe wykonanie obowiązków wynikających z przepisów RODO może zaistnieć także wtedy, gdy jeden spośród wielu pracowników przetwarzających dane osobowe postąpi niezgodnie z zasadami ochrony danych osobowych.
Szkolenia, regulaminy i procedury
Ograniczenie takiego ryzyka dla przedsiębiorcy możliwe jest zarówno poprzez szkolenia pracowników podnoszące ich świadomość, jak i przez stosowanie (i wymaganie stosowania) regulaminów, polityk i procedur dotyczących poszczególnych aspektów ochrony danych osobowych. Środkiem ograniczającym takie ryzyko może być także stosowanie kontroli działań pracowników lub współpracowników, ale także wprowadzenie takich zmian organizacyjnych, które ograniczą dostęp do danych dla osób, które nie muszą ich w danym procesie przetwarzać, i zapewnią wykonanie dodatkowych czynności przez takie osoby, zanim podejmą one czynności wymagające przetwarzania danych osobowych.
NAJWYŻSZA PORA NA DZIAŁANIA
Przepisy RODO nie zawierają szczegółowych wytycznych dotyczących wykonania wszystkich obowiązków administratora, ale wynikają z nich dla przedsiębiorców nowe obowiązki, których wcześniej nie musieli wykonywać. Przygotowanie prawidłowego i pełnego wdrożenia RODO wymagać będzie najczęściej zmian w organizacji funkcjonowania przedsiębiorstwa, co może okazać się dość złożonym procesem, który wymaga czasu i nakładów.
Warto zwrócić uwagę na ostatnie informacje pochodzące od francuskiego organu nadzorczego w zakresie ochrony danych osobowych, który wskazał, że po rozpoczęciu stosowania RODO będzie „tolerował” pewne niedociągnięcia związane z wykonywaniem obowiązków pod RODO, o ile dotyczą one wykonywania nowych (a nie uprzednio już istniejących) obowiązków i przedsiębiorca wykaże, że podjął pewne kroki w celu realizacji takiego obowiązku. Francuski organ nadzorczy zachęca również inne organy nadzorcze do przyjęcia takiego przychylnego przedsiębiorcom stanowiska. Nie ma jednak pewności, że polski organ nadzorczy także zastosuje takie tolerancyjne podejście w początkowym okresie stosowania rozporządzenia.
Jakie obszary wymagają sprawdzenia
Przykładowe sfery działalności firmy, w których mogą być wymagane zmiany organizacyjne lub proceduralne w związku z wdrożeniem wymagań RODO:
● wprowadzenie nowego pracownika lub współpracownika do firmy, jeśli zakres jego zadań wymaga udzielenia mu/jej dostępu do przetwarzania danych osobowych,
● organizacja wprowadzania zmian w przedsiębiorstwie (zarządzenie zmianą, w tym zmianą w obszarze wykorzystywanych systemów informatycznych),
● wyznaczanie okresów przechowywania dla poszczególnych kategorii danych i celów ich przetwarzania,
● usuwanie danych osobowych po upływie wyznaczonych okresów przechowywania,
● przeprowadzenie wstępnej analizy mającej na celu ustalenie konieczności przeprowadzenia oceny skutków przetwarzania dla ochrony danych osobowych – w przypadku pojawienia się nowych lub zmienionych działań na danych osobowych,
● przeprowadzenie dla wskazanych wyżej działań, zakwalifikowanych po wstępnej analizie do przeprowadzenia oceny skutków przetwarzania danych, takiej właśnie oceny,
● właściwe udokumentowanie przeprowadzenia wskazanych wyżej analiz i ocen,
● organizacja okresowych przeglądów dokonanych uprzednio ocen skutków przetwarzania dla ochrony danych,
● organizacja wykonania zaleceń wynikających z wykonanych ocen skutków przetwarzania, w tym zastosowania środków ograniczających zidentyfikowane ryzyko, oraz udokumentowania ich wykonania,
● stosowanie zasady domyślnej ochrony danych osobowych w odniesieniu do projektowania lub wdrażania takich działań na danych osobowych, które mogłyby skutkować przetwarzaniem zbyt dużego zakresu danych osobowych,
● właściwe udokumentowanie zastosowania zasady domyślnej ochrony danych osobowych,
● stosowanie obowiązku projektowania ochrony danych, zwłaszcza w odniesieniu do nowych czynności przetwarzania,
● właściwe udokumentowanie zastosowania obowiązku projektowania ochrony danych osobowych,
● kontrola nad tym, czy dane osobowe w przedsiębiorstwie przetwarzane są w konkretnych celach i czy nie dochodzi do nieuprawnionej zmiany celu ich przetwarzania,
● kontrola nad tym, czy dane są adekwatne, stosowne i ograniczone do tego, co jest niezbędne do osiągnięcia celów administratora,
● zapewnienie aktualności i prawidłowości danych osobowych, w tym wprowadzenie zasad aktualizacji danych osobowych,
● wprowadzenie mechanizmów odnotowywania wykonania poszczególnych działań na danych osobowych w celu wykazania rozliczalności w obszarze ich ochrony,
● wprowadzenie mechanizmów kontrolnych dla ciągłego uaktualniania prowadzonego rejestru czynności przetwarzania danych osobowych,
● zapewnienie stosowania spójnych zasad pozyskiwania zgody na przetwarzanie danych osobowych i odnotowywania udzielenia zgody oraz jej cofnięcia,
● weryfikacja wieku osoby wyrażającej zgodę na przetwarzanie danych osobowych w przypadku zgody zbieranej dla wykonania usługi społeczeństwa informacyjnego kierowanej do osób niepełnoletnich,
● odnotowywanie uzyskania zgody lub potwierdzenia rodzica w przypadku, gdy zgodę na przetwarzanie danych osobowych dla celów wykonania usługi społeczeństwa informacyjnego wyraża osoba niepełnoletnia (w określonej kategorii wiekowej),
● stosowanie spójnych zasad wykonywania obowiązku informacyjnego wobec osób, których dane osobowe dotyczą, w tym odnotowywania terminu i zakresu wykonania takiego obowiązku, a także zapewniania, by w informacji przygotowywanej przez jeden z działów firmy uwzględnione zostały cele i okresy przechowywania danych osobowych w innych działach,
● opracowanie spójnego procesu oceny kontrahentów, którym administrator zamierza powierzyć przetwarzanie danych osobowych, pod kątem spełniania przez nich wymagań RODO,
● stworzenie mechanizmów kontrolnych dla podmiotów przetwarzających dane osobowe na zlecenie administratora (w tym dla dalszych podmiotów przetwarzających)
● zapewnienie spójnego procesu zawierania umów o powierzeniu przetwarzania danych z podmiotami przetwarzającymi, zawierających wszystkie elementy wymagane przepisami RODO,
● kontrola nad tym, komu dane osobowe są udostępniane i w jaki sposób odnotowywane jest udostępnienie danych,
● wprowadzenie zasady udzielania dostępu do danych osobowych w zależności od zakresu zadań i uprawień poszczególnych osób mających otrzymać taki dostęp; zapewnienie odnotowywania zakresu i terminów przydzielonych dostępów,
● stosowanie procesu wydawania poleceń przetwarzania danych osobowych osobom, które przetwarzają dane osobowe w ramach struktur administratora lub podmiotu przetwarzającego,
● stosowanie procedury reakcji na incydenty ochrony danych osobowych, w tym zapewnienie podjęcia odpowiednich działań w takim czasie, aby możliwe było zawiadomienie organu nadzorczego o incydencie w ciągu 72 godzin od stwierdzenia naruszenia,
● zapewnienie mechanizmów wykrywania naruszeń ochrony danych osobowych
● wdrożenie środków reakcji przyjętych po wystąpieniu incydentu ochrony danych osobowych,
● zapewnienie procedur uzupełniania rejestru incydentów ochrony danych osobowych informacjami o wszelkich naruszeniach ich ochrony (także tych nieskutkujących zgłoszeniem incydentu),
● wyznaczenie zadań inspektora ochrony danych osobowych i ulokowanie go w strukturach przedsiębiorstwa w taki sposób, aby zapewnić jego niezależność, a równocześnie umożliwić mu wykonywanie wyznaczonych działań (w tym możliwość wyegzekwowania określonych działań od innych pracowników lub współpracowników administratora),
● organizacja kontroli istnienia podstawy prawnej transferu danych osobowych do państw trzecich przed dokonaniem takiego transferu, w tym przed rozpoczęciem korzystania z usług osób trzecich wykorzystujących serwery położone w państwach trzecich,
● przeszkolenie oraz wprowadzenie powtarzalnych szkoleń z zakresu ochrony danych osobowych dla pracowników i współpracowników, którzy przetwarzają dane.