Jak stworzyć użyteczną dokumentację ochrony danych?

Czym jest dokumentacja ochrony danych osobowych?

Zgodność z RODO, w szerokim rozumieniu, należy udokumentować na cztery sposoby, przez:

• wdrożenie niezbędnych polityk i procedur,
• prowadzenie odpowiednich rejestrów i ewidencji,
• dokonywanie regularnych analiz zgodności, w tym oceny skutków dla ochrony danych (DPIA) oraz analizy ryzyka,
• stosowanie właściwych postanowień i klauzul w umowach, formularzach, na stronie internetowej oraz w innych miejscach, gdzie pozyskiwane są dane osobowe.

W wąskim rozumieniu wszystko zaczyna się od odpowiednich polityk i procedur, o których traktuje niniejszy artykuł. To z polityk i procedur pracownicy uzyskują odpowiedzi na pytania: w jaki sposób postępować z danymi osobowymi, kto i jak prowadzi odpowiednie rejestry i ewidencje, jak często i w jaki sposób dokonywane są analizy zgodności, w tym DPIA i analiza ryzyka, a także jakie wzory klauzul informacyjnych, zgód czy postanowień umownych należy stosować w codziennej pracy.

Polecamy: RODO 2019 – plusy i minusy zmian

Polityki ochrony danych osobowych to wewnętrzne regulacje organizacji, które tworzą normy postępowania jej pracowników i współpracowników w zakresie ochrony danych osobowych. Polityki ochrony danych osobowych mogą mieć różny stopień szczegółowości – od zobowiązania pracowników do przestrzegania ogólnych zasad ochrony danych osobowych, przez standardowe procedury postępowania, do szablonów i klauzul, z których należy korzystać m.in. przy zbieraniu zgody na przetwarzanie danych osobowych lub przy realizacji obowiązku informacyjnego.

Jakie polityki i procedury należy wdrożyć?

Prowadzenie odpowiednich polityk ochrony danych stanowi obowiązek, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust. 2 RODO). Polityki ochrony danych osobowych powinny być wewnętrznie wiążące, tj. przyjęte formalnym aktem organu organizacji, do którego przestrzegania zobowiązani są pracownicy i współpracownicy organizacji. Polityki ochrony danych mogą stanowić odpowiednie środki organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO (art. 24 ust. 2 RODO). Wdrożenie odpowiednich polityk ochrony danych jest jednym ze sposobów realizacji zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie RODO (art. 5 ust. 2 RODO).

Wskazówka: RODO nie precyzuje, jakie polityki ochrony danych należy wdrożyć. Aby ocenić, jakie polityki będą proporcjonalne w stosunku do czynności przetwarzania, należy spojrzeć z perspektywy poszczególnych aspektów ochrony danych osobowych, regulowanych przez RODO. Jeżeli dany aspekt jest istotny z punktu widzenia operacji przetwarzania prowadzonych przez organizację, to należy uregulować go w ramach polityk ochrony danych osobowych. Dobre polityki i procedury pozwalają znaleźć odpowiedź na pytanie, w jaki sposób postępować z danymi osobowymi, a także jakie są role i zakresy odpowiedzialności poszczególnych osób.

Wśród aspektów ochrony danych osobowych, które mogą wymagać uwzględnienia w wewnętrznych politykach, znajdują się:

• ogólne zasady bezpieczeństwa informacji,
• klasyfikacja informacji i kontrola dostępu,
• bezpieczeństwo fizyczne i środowiskowe,
• obszary związane z użytkownikiem końcowym, np. postępowanie pracowników w razie naruszenia, polityka czystego biurka i ekranu,
• przekazywanie danych osobowych poza Europejski Obszar Gospodarczy,
• kopie zapasowe i ciągłość działania – więcej na ten temat w: „Backup polisą ubezpieczeniową XXI w. – rodzaje kopii zapasowych i ich zastosowanie”,
• ochrona przed szkodliwym oprogramowaniem,
• zasady telepracy i wykorzystania urządzeń mobilnych,
• zarządzanie podatnościami technicznymi,
• zabezpieczenia kryptograficzne i pseudonimizacja – więcej na ten temat w: „Pseudonimizacja danych – wyjaśniamy pojęcie”,
• zarządzanie ruchem sieciowym i bezpieczeństwem komunikacji,
• bezpieczeństwo informacji w relacjach z dostawcami,
• procedura oceny skutków przetwarzania dla ochrony danych (DPIA) – więcej na ten temat w: „Ocena skutków dla ochrony danych (DPIA)”,
• procedura szacowania ryzyka związanego z bezpieczeństwem informacji – więcej na ten temat w: „Szacowanie ryzyka zgodnie z RODO” – cz. 1 „Wprowadzenie”,
• wzór umowy o podziale odpowiedzialności współadministratorów – więcej na ten temat w: „Jak odróżnić współadmistrowanie od powierzenia przetwarzania?”,
• analiza obowiązku wyznaczenia inspektora ochrony danych (IOD),
• procedura uwzględniania ochrony danych w fazie projektowania i domyślna ochrona danych (data protection by design and by default) – więcej na ten temat w: „Jak uwzględnić prywatność w fazie projektowania?”,
• wzory upoważnień do przetwarzania danych osobowych,
• wzory klauzul zgody na przetwarzanie danych osobowych,
• zasady profilowania i podejmowania zautomatyzowanych decyzji,
• procedura zarządzania incydentem i zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu oraz osobie, której dane dotyczą – więcej na ten temat w: „Zarządzanie naruszeniami – plan działania”,
• wzór umowy powierzenia przetwarzania danych – więcej na ten temat w: „Umowa powierzenia przetwarzania danych osobowych zgodna z RODO – udostępniamy gotowy wzór”,
• zasady usuwania i anonimizacji danych osobowych,
• procedury realizacji praw osób, których dane dotyczą,
• wzory klauzul informacyjnych RODO – więcej na ten temat w: „Klauzule RODO”,
• zasady prowadzenia rejestru czynności przetwarzania – więcej na ten temat w: „Rejestr czynności przetwarzania – centrum utrzymania zgodności z RODO”.

W jaki sposób wdrożyć polityki ochrony danych osobowych?

Po pierwsze należy ocenić, które aspekty są istotne z punktu widzenia operacji przetwarzania prowadzonych przez organizację i w jakim zakresie wymagają regulacji. Przykładowo, w odniesieniu do obszarów związanych z użytkownikiem końcowym, regulacją zwykle należy objąć: a) akceptowane wykorzystanie aktywów, b) politykę czystego biurka i czystego ekranu, c) zasady przekazywania informacji, d) urządzenia mobilne i telepracę, e) ograniczenia dotyczące instalacji i stosowania oprogramowania. Jeśli jednak w organizacji nie występują urządzenia mobilne i telepraca, to można pominąć przygotowanie dotyczących ich zasad.

Po drugie należy ustalić role każdej z osób w ramach danego aspektu przetwarzania danych. Różne będą obowiązki inspektora ochrony danych, właściciela procesu, administratora zasobu oraz każdej osoby upoważnionej do przetwarzania danych.

Po wykryciu incydentu pracownik powinien, w miarę możliwości, usunąć jego skutki (np. zabezpieczyć pozostawione dokumenty) i zgłosić sytuację inspektorowi ochrony danych.

Po trzecie należy przygotować właściwą treść dokumentacji, w najszerszym możliwym zakresie, posługując się pojęciami i sformułowaniami z RODO. Powinna być ona opracowana w przejrzystej i łatwo zrozumiałej formie, która pozwoli pracownikom i współpracownikom bez trudu dowiedzieć się, jakie kroki mają podjąć. Dokumentacja ma wartość użytkową, jeśli jasno określa, kto i w jakich okolicznościach jest odpowiedzialny za realizację poszczególnych postanowień oraz w jaki sposób powinien się do nich zastosować. Dla ułatwienia stosowania nowych regulacji warto jest przygotować formularze i szablony, których wypełnienie będzie stanowić realizację danego obowiązku (np. wzory klauzul informacyjnych, wzory klauzul zgody, szablony oceny skutków dla ochrony danych).

Po czwarte należy uświadomić pracownikom ich obowiązki związane z ochroną danych. W aktach pracownika musi znajdować się przynajmniej potwierdzenie zapoznania się z dokumentacją. Aby dokumentacja rzeczywiście funkcjonowała w organizacji, najczęściej nie wystarczy samo udostępnienie jej treści – pracownicy potrzebują odpowiedniego przeszkolenia, akcji uświadamiających, a także formalnego zobowiązania do przestrzegania postanowień dokumentacji.

Podsumowanie

Dokumentację ochrony danych można nazwać użyteczną wtedy i tylko wtedy, gdy realizuje ona swoją funkcję, czyli buduje świadomość pracowników, w jaki sposób powinni postępować z danymi osobowymi. Aby osiągnąć ten cel, należy ocenić, jakie aspekty RODO wymagają regulacji (tzn. w jakim zakresie pracownicy potrzebują usystematyzowanych informacji, jak postępować z danymi osobowymi), ustalić role każdej z osób, opisać je w przejrzystej i łatwo zrozumiałej formie, zapoznać pracowników z tak utworzonymi dokumentami, formalnie zobowiązać do ich przestrzegania i wreszcie – co najczęściej jest niezbędne do stosowania dokumentacji w praktyce – zorganizować szkolenie.

Autor: Paweł Mielniczek