Ochrona danych pracowników. Zmiany 2019
INFORLEX Administracja
RODO Jak przygotować się do kontroliCzym jest dokumentacja ochrony danych osobowych?
Zgodność z RODO, w szerokim rozumieniu, należy udokumentować na cztery sposoby, przez:
- wdrożenie niezbędnych polityk i procedur,
- prowadzenie odpowiednich rejestrów i ewidencji,
- dokonywanie regularnych analiz zgodności, w tym oceny skutków dla ochrony danych (DPIA) oraz analizy ryzyka,
- stosowanie właściwych postanowień i klauzul w umowach, formularzach, na stronie internetowej oraz w innych miejscach, gdzie pozyskiwane są dane osobowe.
W wąskim rozumieniu wszystko zaczyna się od odpowiednich polityk i procedur, o których traktuje niniejszy artykuł. To z polityk i procedur pracownicy uzyskują odpowiedzi na pytania: w jaki sposób postępować z danymi osobowymi, kto i jak prowadzi odpowiednie rejestry i ewidencje, jak często i w jaki sposób dokonywane są analizy zgodności, w tym DPIA i analiza ryzyka, a także jakie wzory klauzul informacyjnych, zgód czy postanowień umownych należy stosować w codziennej pracy.
reklama
reklama
Polecamy: RODO 2019 – plusy i minusy zmian
Polityki ochrony danych osobowych to wewnętrzne regulacje organizacji, które tworzą normy postępowania jej pracowników i współpracowników w zakresie ochrony danych osobowych. Polityki ochrony danych osobowych mogą mieć różny stopień szczegółowości – od zobowiązania pracowników do przestrzegania ogólnych zasad ochrony danych osobowych, przez standardowe procedury postępowania, do szablonów i klauzul, z których należy korzystać m.in. przy zbieraniu zgody na przetwarzanie danych osobowych lub przy realizacji obowiązku informacyjnego.
Jakie polityki i procedury należy wdrożyć?
Prowadzenie odpowiednich polityk ochrony danych stanowi obowiązek, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust. 2 RODO). Polityki ochrony danych osobowych powinny być wewnętrznie wiążące, tj. przyjęte formalnym aktem organu organizacji, do którego przestrzegania zobowiązani są pracownicy i współpracownicy organizacji. Polityki ochrony danych mogą stanowić odpowiednie środki organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO (art. 24 ust. 2 RODO). Wdrożenie odpowiednich polityk ochrony danych jest jednym ze sposobów realizacji zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie RODO (art. 5 ust. 2 RODO).
Wskazówka: RODO nie precyzuje, jakie polityki ochrony danych należy wdrożyć. Aby ocenić, jakie polityki będą proporcjonalne w stosunku do czynności przetwarzania, należy spojrzeć z perspektywy poszczególnych aspektów ochrony danych osobowych, regulowanych przez RODO. Jeżeli dany aspekt jest istotny z punktu widzenia operacji przetwarzania prowadzonych przez organizację, to należy uregulować go w ramach polityk ochrony danych osobowych. Dobre polityki i procedury pozwalają znaleźć odpowiedź na pytanie, w jaki sposób postępować z danymi osobowymi, a także jakie są role i zakresy odpowiedzialności poszczególnych osób.
Wśród aspektów ochrony danych osobowych, które mogą wymagać uwzględnienia w wewnętrznych politykach, znajdują się:
- ogólne zasady bezpieczeństwa informacji,
- klasyfikacja informacji i kontrola dostępu,
- bezpieczeństwo fizyczne i środowiskowe,
- obszary związane z użytkownikiem końcowym, np. postępowanie pracowników w razie naruszenia, polityka czystego biurka i ekranu,
- przekazywanie danych osobowych poza Europejski Obszar Gospodarczy,
- kopie zapasowe i ciągłość działania – więcej na ten temat w: „Backup polisą ubezpieczeniową XXI w. – rodzaje kopii zapasowych i ich zastosowanie”,
- ochrona przed szkodliwym oprogramowaniem,
- zasady telepracy i wykorzystania urządzeń mobilnych,
- zarządzanie podatnościami technicznymi,
- zabezpieczenia kryptograficzne i pseudonimizacja – więcej na ten temat w: „Pseudonimizacja danych – wyjaśniamy pojęcie”,
- zarządzanie ruchem sieciowym i bezpieczeństwem komunikacji,
- bezpieczeństwo informacji w relacjach z dostawcami,
- procedura oceny skutków przetwarzania dla ochrony danych (DPIA) – więcej na ten temat w: „Ocena skutków dla ochrony danych (DPIA)”,
- procedura szacowania ryzyka związanego z bezpieczeństwem informacji – więcej na ten temat w: „Szacowanie ryzyka zgodnie z RODO” – cz. 1 „Wprowadzenie”,
- wzór umowy o podziale odpowiedzialności współadministratorów – więcej na ten temat w: „Jak odróżnić współadmistrowanie od powierzenia przetwarzania?”,
- analiza obowiązku wyznaczenia inspektora ochrony danych (IOD),
- procedura uwzględniania ochrony danych w fazie projektowania i domyślna ochrona danych (data protection by design and by default) – więcej na ten temat w: „Jak uwzględnić prywatność w fazie projektowania?”,
- wzory upoważnień do przetwarzania danych osobowych,
- wzory klauzul zgody na przetwarzanie danych osobowych,
- zasady profilowania i podejmowania zautomatyzowanych decyzji,
- procedura zarządzania incydentem i zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu oraz osobie, której dane dotyczą – więcej na ten temat w: „Zarządzanie naruszeniami – plan działania”,
- wzór umowy powierzenia przetwarzania danych – więcej na ten temat w: „Umowa powierzenia przetwarzania danych osobowych zgodna z RODO – udostępniamy gotowy wzór”,
- zasady usuwania i anonimizacji danych osobowych,
- procedury realizacji praw osób, których dane dotyczą,
- wzory klauzul informacyjnych RODO – więcej na ten temat w: „Klauzule RODO”,
- zasady prowadzenia rejestru czynności przetwarzania – więcej na ten temat w: „Rejestr czynności przetwarzania – centrum utrzymania zgodności z RODO”.
W jaki sposób wdrożyć polityki ochrony danych osobowych?
Po pierwsze należy ocenić, które aspekty są istotne z punktu widzenia operacji przetwarzania prowadzonych przez organizację i w jakim zakresie wymagają regulacji. Przykładowo, w odniesieniu do obszarów związanych z użytkownikiem końcowym, regulacją zwykle należy objąć: a) akceptowane wykorzystanie aktywów, b) politykę czystego biurka i czystego ekranu, c) zasady przekazywania informacji, d) urządzenia mobilne i telepracę, e) ograniczenia dotyczące instalacji i stosowania oprogramowania. Jeśli jednak w organizacji nie występują urządzenia mobilne i telepraca, to można pominąć przygotowanie dotyczących ich zasad.
Po drugie należy ustalić role każdej z osób w ramach danego aspektu przetwarzania danych. Różne będą obowiązki inspektora ochrony danych, właściciela procesu, administratora zasobu oraz każdej osoby upoważnionej do przetwarzania danych.
Po wykryciu incydentu pracownik powinien, w miarę możliwości, usunąć jego skutki (np. zabezpieczyć pozostawione dokumenty) i zgłosić sytuację inspektorowi ochrony danych.
Po trzecie należy przygotować właściwą treść dokumentacji, w najszerszym możliwym zakresie, posługując się pojęciami i sformułowaniami z RODO. Powinna być ona opracowana w przejrzystej i łatwo zrozumiałej formie, która pozwoli pracownikom i współpracownikom bez trudu dowiedzieć się, jakie kroki mają podjąć. Dokumentacja ma wartość użytkową, jeśli jasno określa, kto i w jakich okolicznościach jest odpowiedzialny za realizację poszczególnych postanowień oraz w jaki sposób powinien się do nich zastosować. Dla ułatwienia stosowania nowych regulacji warto jest przygotować formularze i szablony, których wypełnienie będzie stanowić realizację danego obowiązku (np. wzory klauzul informacyjnych, wzory klauzul zgody, szablony oceny skutków dla ochrony danych).
Po czwarte należy uświadomić pracownikom ich obowiązki związane z ochroną danych. W aktach pracownika musi znajdować się przynajmniej potwierdzenie zapoznania się z dokumentacją. Aby dokumentacja rzeczywiście funkcjonowała w organizacji, najczęściej nie wystarczy samo udostępnienie jej treści – pracownicy potrzebują odpowiedniego przeszkolenia, akcji uświadamiających, a także formalnego zobowiązania do przestrzegania postanowień dokumentacji.
Podsumowanie
Dokumentację ochrony danych można nazwać użyteczną wtedy i tylko wtedy, gdy realizuje ona swoją funkcję, czyli buduje świadomość pracowników, w jaki sposób powinni postępować z danymi osobowymi. Aby osiągnąć ten cel, należy ocenić, jakie aspekty RODO wymagają regulacji (tzn. w jakim zakresie pracownicy potrzebują usystematyzowanych informacji, jak postępować z danymi osobowymi), ustalić role każdej z osób, opisać je w przejrzystej i łatwo zrozumiałej formie, zapoznać pracowników z tak utworzonymi dokumentami, formalnie zobowiązać do ich przestrzegania i wreszcie – co najczęściej jest niezbędne do stosowania dokumentacji w praktyce – zorganizować szkolenie.
Autor: Paweł Mielniczek
