Audyt dokumentacji pod kątem RODO

Zasadniczą różnicą w stosunku do poprzednich regulacji jest to, że nowe rozporządzenie nie narzuca niemal żadnych wymogów formalnych. RODO nie podaje żadnych wzorów ani nie wskazuje żadnych „punktów obowiązkowych” w dokumentacji ochrony danych osobowych. To administrator decyduje, jakiego rodzaju dokumenty, polityki, procedury czy instrukcje uważa za stosowne do wprowadzenia u siebie.

Do administratora należy zatem decyzja, czy i w jakiej formie wprowadzi u siebie:

  1. politykę prywatności, tj. dokument zawierający informacje dla osób, których dane przetwarza (dokument pozwalający spełnić obowiązki informacyjne wynikające z art. 13 i 14 RODO);
  2. rejestr czynności przetwarzania;
  3. procedurę zawiadamiania organu nadzorczego oraz osób poszkodowanych w przypadku tzw. incydentu (wycieku danych, ich utraty, nieuprawnionego użycia itp.);
  4. politykę retencji danych (procedurę usuwania danych po okresie ich wykorzystania);
  5. polityki i instrukcje postępowania z danymi w sposób zapewniający ich bezpieczeństwo (polityka haseł, polityka postępowania z dokumentami papierowymi, polityka udostępniania danych drogą telefoniczną itd.);
  6. polityki i procedury dotyczące nadawania uprawnień do przetwarzania danych osobowych;
  7. instrukcje pozyskiwania danych od klientów, tak aby realizować zasadę minimalizacji danych;
  8. inne polityki czy instrukcje, które administrator uważa za stosowne.

 

Praktycznie jedynym przepisem, który nakazuje sporządzenie formalnego dokumentu, jest art. 30 RODO wprowadzający wymóg stworzenia rejestru czynności przetwarzania danych. Dokument ten jest obowiązkowy, gdy zachodzi choćby jedna z poniższych przesłanek:

  1. administrator zatrudnia 250 pracowników lub więcej;
  2. liczba zatrudnionych jest mniejsza, ale przetwarzanie danych ma charakter ciągły, zorganizowany (a nie sporadyczny), czyli de facto każda działalność gospodarcza, ponieważ wszyscy przedsiębiorcy prowadzą swoją działalność w sposób niesporadyczny;
  3. zatrudnienie jest niższe niż 250 osób, ale administrator przetwarza dane wrażliwe – a więc wszystkie placówki medyczne;
  4. przetwarzanie powoduje ryzyko naruszenia praw i wolności osób, których dane dotyczą – a więc de facto w każdym przypadku, ponieważ niemal każde przetwarzanie danych osobowych niesie za sobą ryzyko naruszenia prawa do prywatności.

Wskazany przepis wymienia obowiązkową „zawartość” rejestru czynności przetwarzania i wskazuje, że może on mieć formę pisemną lub elektroniczną.

Do prowadzenia rejestru czynności przetwarzania zobowiązani są również procesorzy (a nie tylko administratorzy danych).

Jest bezcelowe cytowanie w tym miejscu całości przepisu art. 30 RODO, który w siedmiu punktach wymienia elementy obowiązkowe rejestru. Dość wskazać, że z rejestru
tego ma wynikać, jakie czynności przetwarzania danych zachodzą u administratora. Organizacja powinna więc „zmapować” czy „zinwentaryzować” procesy biznesowe, w których przetwarza dane osobowe, i stosownie je opisać. Co istotne, RODO nie wprowadza wymogu, by w rejestrze zostały zidentyfikowane poszczególne zbiory danych osobowych ani by wymieniać wszystkie rodzaje informacji gromadzonych w zbiorach, ani by opisywać sposoby przepływu informacji pomiędzy różnymi systemami informatycznymi. Zamiast tego art. 30 RODO wskazuje, by w rejestrze zidentyfikować kategorie osób, których dane dotyczą (np. klienci, pracownicy, kontrahenci, subskrybenci newslettera, pacjenci) oraz kategorie danych osobowych (dane zwykłe czy wrażliwe). Przepis ten nakazuje również umieszczenie w rejestrze ogólnego opisu stosowanych środków bezpieczeństwa. Jest to zatem wymóg prostszy niż na gruncie poprzednich przepisów, gdzie wymóg ten był o wiele bardziej szczegółowy.

Audyt dokumentacji przetwarzania danych osobowych warto również wzbogacić o przegląd upoważnień do przetwarzania danych osobowych nadawanych pracownikom. Należy sprawdzić, czy w ogóle takie upoważnienia funkcjonują (w formie papierowej lub elektronicznej). Jeśli tak, to należy upewnić się, czy odpowiednim osobom nadawane są odpowiednio zawężone uprawnienia dostępu i możliwości przetwarzania tylko tych danych osobowych, które są niezbędne danemu pracownikowi do wykonywania swoich obowiązków pracowniczych.
 

PRZYKŁAD

Dostęp do danych finansowych (widniejących na fakturach) powinni mieć tylko pracownicy działu księgowości, dyrektor finansowy oraz zarząd firmy. Pozostali pracownicy, nawet ci z działu obsługi klienta, niekoniecznie potrzebują dostępu do historii faktur, aby prawidłowo wykonywać swoje obowiązki.

 

PRZYKŁAD

Przedsiębiorca, który prowadzi sieć stacjonarnych salonów sprzedaży okien, powinien tak ograniczyć dostęp do systemu CRM, w którym znajdują się dane wszystkich zamówień i klientów, by dany salon stacjonarny posiadał dostęp tylko do danych klientów z własnego regionu (sklep w Zakopanem nie musi, by prawidłowo funkcjonować, posiadać podglądu do zamówień w siostrzanym sklepie w Gdańsku).