Szanowni Państwo, 

W związku z przygotowaniem dla Państwa dokumentacji w wykonaniu wymagań nałożonych na przedsiębiorcę zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) przesyłamy Państwu niniejszy informator celem wyjaśnienia charakteru i funkcji każdego z dokumentów, jak również podstawowych zaleceń w przedmiocie ich uzupełnienia.

Na sporządzoną dokumentację składają się :

1. Klauzule Informacyjne,
2. Polityka ochrony danych osobowych,
3. Regulamin ochrony danych osobowych,
4. Rejestr czynności przetwarzania danych osobowych,
5. Instrukcja postępowania z kluczami oraz zabezpieczenia pomieszczeń i obiektu,
6. Instrukcja zarządzania systemem informatycznym,
7. Procedura korzystania z komputerów służbowych,
8. Upoważnienia/Oświadczenia dla Pracowników,
9. Procedura zarzadzania naruszeniami wraz z załącznikami,
10. Umowa powierzenia przetwarzania danych osobowych.

1. Podstawa Prawna dokumentacji RODO.

1. Konieczność przetwarzania zgodnie z RODO (stosowania się do wymagań RODO) od 25.05.2018 r. : Zgodnie z motywem 171 preambuły przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od dnia wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów – termin ten mija właśnie 25.05.2018 r.

Z powyższego zapisu wynika, że przetwarzanie, które toczyło się w dniu wejścia w życie rozporządzenia lub zostanie rozpoczęte po tej dacie musi być wykonywane w zgodzie z wymogami RODO.

W uproszczeniu przetwarzanie oznacza każdą operację na danych osobowych – wprowadzenie ich do systemu, ich przetwarzanie, porządkowanie, udostępnianie, np. do księgowości.

1. Zgodnie z RODO administrator danych osobowych jest zobowiązany do wdrożenia „odpowiednich środków technicznych”. Ustawodawca Europejski pozostawia powyższe pojęcie otwartym nie precyzując w sposób zamknięty listy czynności, które powinien przedsięwziąć administrator danych osobowych w celu realizacji wymogów RODO.

Natomiast w art. 24 ust. 1 i 2 wskazał on, iż  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Zgodnie z powyższym ustawodawca europejski pośrednio wskazuje na konieczność sporządzenia odpowiedniej dokumentacji w postaci polityki ochrony danych.

Ponadto rozporządzenie wprowadza zasadę odpowiedzialności za uwzględnienie ochrony danych w procesie projektowania (privacy by desing), co znajduje wyraz w art. 25 ust. 1 rozporządzenia  Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

RODO wprowadza również zasadę privacy by default – wymóg wdrożenia odpowiednich środków zapewniających ochronę danych osobowych, a co za tym idzie realizację przyjętych założeń.

Przykładowe środki organizacyjno – techniczne zostały wymienione również w art. 32 ust. 1 RODO (…)administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b)zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Podsumowując powyższe przedsiębiorca zobowiązany jest na każdym etapie przetwarzania danych do zapewniania odpowiednich środków technicznych dla zabezpieczenia danych osobowych, przy czym RODO wskazuje jedynie przykładowe środki organizacyjno – techniczne, które w tym celu powinny być zastosowane. Należy jednak zauważyć, że w całej treści RODO pojawia się szereg wskazań co do takich środków, jak również precyzyjnie określony zakres obowiązków administratora danych osobowych.

W rozporządzeniu skonkretyzowane m.in. następujące obowiązki administratora danych osobowych (przedsiębiorca przetwarzający dane osobowe) :

1. obowiązki wobec podmiotu, którego dane są przetwarzane (rozdział III RODO): Obowiązek informacyjny oraz prawo dostępu (art. 13 – 15 RODO) , inne prawa i obowiązki osoby, której dane są przetwarzane, m.in. prawo sprzeciwu, prawo żądania zmiany, sprostowania, usunięcia danych,
2. obowiązek prowadzenia rejestru czynności przetwarzania danych – co prawda nie wynika on wprost z treści art. 30 RODO (zgodnie z ust. 5 obowiązek dotyczy podmiotów zatrudniających co najmniej 250 osób), jednak rekomendujemy prowadzenie rejestru z przyczyn praktycznych, m.in. dla celów ewentualnych kontroli, kiedy w prosty sposób wykazać będzie można cel i zakres przetwarzania określonych danych, jak również zastosowane środki zabezpieczenia
3. obowiązek stosowania odpowiedniej procedury zarządzania naruszeniami, obowiązek prowadzenia rejestru naruszeń– art. 33 RODO, współpracy z organem nadzorczym,
4. udzielenia upoważnienia do przetwarzania danych osobowych – art. 29 RODO,
5. zawarcia odpowiedniej umowy z podmiotem, któremu powierzamy przetwarzanie danych – art. 28 RODO.

1. Rozporządzenie wprowadza zasadę rozliczalności – na administratorze danych ciąży obowiązek wykazania zgodności przetwarzania danych osobowych z RODO.

1. Brak wywiązania się przez administratora danych osobowych z nałożonych na niego obowiązków wiąże się z ryzykiem obciążenia go karami finansowymi określonymi w art. 83 RODO i n.

1. Konieczność sporządzenia dokumentacji –  

1. obowiązek sporządzenia części z przygotowanych dla Państwa dokumentów został wyrażony wprost w RODO – dotyczy to m.in. dokumentacji upoważnienia udzielanego pracownikowi, prowadzenia rejestru czynności przetwarzania danych, prowadzenia rejestru naruszeń (art. 33 ust. 5 RODO), zawierania umów z podmiotem, któremu powierzamy przetwarzanie danych, w określonych sytuacjach polityk ochrony danych osobowych (24 ust. 2 RODO) – dotyczy to dokumentacji takiej jak polityka ochrony danych osobowych,
2. część dokumentacji ma na celu wdrożenie założeń polityki ochrony danych osobowych (wypełnienie obowiązku privacy by default) – Instrukcja postępowania z kluczami oraz zabezpieczenia pomieszczeń i obiektu, instrukcja zarządzania systemem informatycznym, procedura korzystania z komputerów służbowych, regulamin ochrony danych osobowych (wytyczne dla pracowników), informacja dla osoby, której dane będą przetwarzane,
3. zważając na zasadę rozliczalności dokumentacja pozwala na wykazanie przed organem nadzorczym wywiązania się ze stosowania odpowiednich środków bezpieczeństwa przez administratora danych osobowych.

1. Podsumowując :

• RODO nakłada na administratora danych osobowych szereg obowiązków, które zobowiązany jest on realizować w związku z przetwarzaniem danych osobowych,
• RODO nie wskazuje bezpośrednio środków, jakie ma zastosować administrator danych osobowych – pozostawia mu w tym zakresie wolną rękę wskazują jedynie, iż mają być to środki ochrony odpowiednie,
• RODO wiąże okoliczność braku wywiązania się przez administratora danych osobowych z nałożonych na niego obowiązków z wysokimi sankcjami finansowymi,
• RODO wprowadza zasadę rozliczalności – przedsiębiorca ma wykazać, iż realizuje on nałożone na niego obowiązki,
• RODO wprost wskazuje znaczną część dokumentacji, którą należy sporządzić, natomiast konieczność sporządzenia części dokumentów wynika z treści nałożonych na administratora danych osobowych obowiązków przy uwzględnieniu zasady rozliczalności.

1. Przygotowana dokumentacja. 

1. Klauzule informacyjne – w art. 13 – 15 RODO ustawodawca europejski wprost wskazuje na informacje, które administrator danych osobowych powinien przekazać osobie, od której pozyskiwane są dane osobowe – tj. osoby, która wypełnia formularz kontaktowy na stronie internetowej, składa Państwu ofertę (tym samym powierzając dane kontaktowe), wysyła CV, czy w jakiejkolwiek innej formie przekazuje te dane.

Z uwagi na fakt, że przepis przewiduje rozbudowany zakres informacji (zwykle kilkanaście pozycji), jakie należy przekazać, w praktyce przyjęło się konstruować z wyprzedzeniem klauzulę informacyjną, która zawierać będzie wszystkie wymagane przez RODO treści.

Jednocześnie z uwagi na fakt, że administrator danych osobowych musi wykazać wywiązanie się z ww. obowiązku klauzula stanowi praktyczną formę potwierdzenia tej okoliczności.

1. Polityka ochrony danych osobowych – jak już wskazaliśmy, administrator danych osobowych zgodnie z art. 24 RODO zobowiązany jest do podjęcia odpowiednich środków organizacyjnych, technicznych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych, które to czynności obejmują wdrożenie polityki ochrony danych osobowych. W skrócie dokument ten można określić jako szereg założeń co do środków ochrony danych osobowych, których wdrożenie/stosowanie w swoim przedsiębiorstwie administrator danych osobowych deklaruje.

Projektując ten dokument mamy na uwadze obowiązki nałożone na administratora danych osobowych przepisami RODO, specyfikę branżową, skalę działalności, rodzaj przetwarzanych danych, cel oraz formę przetwarzania danych, obowiązujące u danego przedsiębiorcy środki ochrony danych osobowych. Ponadto uwzględniamy pośrednie wytyczne, jakie ustawodawca europejski wskazuje w przepisach takich, jak art. 32 ust. 1 RODO. Jeżeli pojawiają się wątpliwości w zakresie środków obecnie wdrożonych u Państwa, jest to przedmiotem ustaleń przeprowadzonych przez nas w trakcie przygotowywania dokumentacji. Jednocześnie w przypadku wątpliwości co do zakresu zastosowanych przez Państwa środków w tym zakresie również otrzymują Państwo odpowiednie wskazania. Dokument ma stanowić opis tego, co faktycznie będzie u Państwa funkcjonowało mając na celu spełnienie wytycznych oraz obowiązków szczególnych wskazanych w RODO.

W przypadku wątpliwości co do założeń polityki bezpieczeństwa z faktycznie stosowanymi przez Państwa metodami zabezpieczenia procesu przetwarzania danych osobowych prosimy o informację w tym zakresie. 

1. Regulamin ochrony danych osobowych, Instrukcja postępowania z kluczami oraz zabezpieczenia pomieszczeń i obiektu, Instrukcja zarządzania systemem informatycznym, Procedura korzystania z komputerów służbowych – są to dokumenty mające pochodny i uzupełniający charakter w stosunku do Polityki bezpieczeństwa. Mają one na celu wdrożenie przyjętych założeń bądź uzupełnienie założeń Polityki bezpieczeństwa.  Wprowadzenie tej dokumentacji stanowi wypełnienie obowiązku wdrożenia środków zapewniających faktyczne zabezpieczenie procesu zbierania i przetwarzania danych osobowych (privacy by default).

Regulamin ochrony danych osobowych – przeznaczony jest dla Państwa pracowników, ma na celu gwarancję, iż będą oni świadomi swoich obowiązków związanych z realizacją założeń ochrony danych osobowych.

Polityka klucza oraz Procedura korzystania z komputerów służbowych – te dokumenty mają na celu ustalenie zasad ochrony nośników danych osobowych w Państwa firmie. Ponadto stanowią one potwierdzenie w przypadku kontroli, że nośniki te są odpowiednio zabezpieczone. W przypadku zasad korzystania z komputerów służbowych uwzględniamy również środki zabezpieczenia, które zostały wprost wskazane w RODO, takie jak pseudonimizacja i szyfrowanie danych osobowych.

1. Rejestr czynności przetwarzania danych osobowych – wprowadzenie tego dokumentu przez podmiot zatrudniający co najmniej 250 osób, jak również zakres informacji, które powinien on zawierać wynika wprost z przepisów RODO, tj. art. 30 RODO. My rekomendujemy jego wprowadzenie z przyczyn praktycznych. Rejestr zawierać ma w szczególności dane administratora danych osobowych, inspektora danych osobowych, dane kontaktowe, cele przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, jeżeli jest to możliwe : planowane terminy usunięcia poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Dokument ułatwi wykazanie ww. okoliczności w przypadku ewentualnej kontroli.

1. Upoważnienia/Oświadczenia dla Pracowników – konieczność sporządzenia tego dokumentu wynika pośrednio z art. 29 RODO, zgodnie z którym Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Z powyższego przepisu wynika, że podmioty inne niż administrator powinny posiadać pisemne upoważnienie do przetwarzania w jego imieniu danych osobowych. Jednocześnie zredagowane przez nas upoważnienia wraz z oświadczeniem pracownika mają na celu zapewnienie, że Państwa pracownik jest w pełni świadomy obowiązków związanych z przetwarzaniem danych osobowych oraz konsekwencji ich naruszenia. Ewidencja pracowników upoważnionych przygotowana została natomiast dla celów praktycznych.

1. Procedura zarzadzania naruszeniami wraz z załącznikami – zapewnienie stosowanie przez Państwa odpowiedniej procedury w przypadku zgłoszenia naruszenia danych osobowych jak również prowadzenia rejestru naruszeń również wynika wprost z przepisów RODO znajdujących się w 32 – 34 RODO. Procedura skonstruowana została w oparciu o wymogi opisane w ww. przepisach.

Podsumowanie : 

W szczególności dokumentacja opisana w pkt. 1 – 3 konstruowana jest w oparciu o uzyskane od Państwa informacje, gdyż odzwierciedlać ma ona specyfikę skali oraz rodzaju prowadzonej przez Państwa działalności jak również zgłoszonych nam stosowanych u Państwa środków ochrony danych osobowych. W związku z powyższym w przypadku dostrzeżenia niezgodności w dokumentacji z faktycznym stanem funkcjonującym w Państwa firmie prosimy o zgłoszenie takiej okoliczności w celu odpowiedniego dostosowania dokumentacji, ponadto należy upewnić się, czy wszystkie założone środki ochrony danych osobowych faktycznie zostaną wdrożone. 

Ponadto konieczne jest zaznajomienie się z procedurami opisanymi w dokumentacji wskazanej w pkt. 2,3,6, w tym zaznajomienie z jej treścią w odpowiednim zakresie pracowników w celu upewnienia się, że środki ochrony danych osobowych faktycznie u Państwa funkcjonują, jak również są Państwo gotowi na sytuacje wyjątkowe (nr. 6). 

W razie jakichkolwiek wątpliwości służymy Państwu pomocą.