Jak prowadzić dokumentację ochrony danych osobowych

Przepisy RODO nie wskazują wprost, jaką dokumentację z zakresu ochrony danych osobowych ma prowadzić administrator danych, jednak zgodnie z zasadą rozliczalności przynajmniej w niektórych wypadkach konieczne jest prowadzenie takiej dokumentacji, czasem nawet w bardzo ograniczonym zakresie.

Jeśli chodzi o dokumentację ochrony danych osobowych, to podstawowym dokumentem, do prowadzenia którego zobowiązani są niemal wszyscy administratorzy danych, jest rejestr czynności przetwarzania danych, a w przypadku podmiotów przetwarzających – także rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Powyższych rejestrów nie muszą prowadzić podmioty, które zatrudniają mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych. Stosunkowo rzadko jednak dochodzi do sytuacji, kiedy przetwarzanie danych osobowych nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą, albo dane osobowe są przetwarzane w sposób sporadyczny, co powoduje, że w zasadzie większość administratorów danych powinna prowadzić tego rodzaju rejestry.

Wskazówka!

Co prawda RODO wskazuje przypadki, kiedy nie ma obowiązku prowadzenia tego rejestru, jednak w kontekście zasady rozliczalności warto przygotować taki dokument.

Przede wszystkim w rejestrze czynności przetwarzania danych, powinny być zgromadzone m.in. następujące informacje:

  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców danych osobowych,
  • ewentualne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowych,
  • planowane terminy usunięcia poszczególnych kategorii danych,
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Jak widać, zakres informacji, które powinny być zawarte w przedmiotowym rejestrze, powoduje, że jego przygotowanie wymaga od administratora danych dokładnej analizy wykonywanych przez niego operacji przetwarzania danych osobowych. Już samo to powoduje, że administrator danych jest zmuszony wykonać inwentaryzację przetwarzanych danych oraz czynności, jakie wykonuje na danych osobowych. Efektem „ubocznym” przygotowania tego rejestru jest uzyskanie przez administratora danych wiedzy o procesach przetwarzania danych w jego organizacji.

Taka wiedza oraz sam rejestr czynności przetwarzania pozwolą administratorowi danych wykazać w trakcie kontroli przede wszystkim legalność przetwarzania danych osobowych, ale także przestrzeganie szeregu innych zasad wynikających z RODO, o których mowa w art. 5 RODO.


Innym ważnym dokumentem, który w trakcie kontroli pozwoli na wykazanie przestrzegania zasady rozliczalności, jest raport lub podsumowanie z analizy ryzyka. Jest to o tyle ważny dokument, że na jego podstawie administrator danych powinien dobierać środki, którymi zabezpieczy operacje przetwarzania danych osobowych. Wdrożenie odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych powinno zostać ustalone w oparciu o stan wiedzy technicznej, koszt ich wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
 

Ważne!

W trakcie kontroli Urząd Ochrony Danych Osobowych będzie sprawdzał, czy dane osobowe są odpowiednio zabezpieczone. Wykazanie przez administratora danych, że wdrożył odpowiednie środki w tym celu, wymaga od niego określenia ryzyka naruszenia praw i wolności osób, których dane dotyczą, oraz uzasadnienia, dlaczego wybrał takie, a nie inne zabezpieczenia.

Odpowiednio przygotowany raport z analizy ryzyka pozwoli na wykazanie, że wybrane przez administratora danych sposoby ochrony danych osobowych są adekwatne do stwierdzonego ryzyka.


Kolejnym dokumentem, który często wdrażają administratorzy danych, jest polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemami informatycznymi. Co prawda RODO nie nakłada na administratorów danych obowiązku prowadzenia takiej dokumentacji, to jednak jej przygotowanie pozwala na wdrożenie szeregu procedur postępowania, tak aby przetwarzanie danych osobowych odbywało się zgodnie z przepisami RODO.
 

Wskazówka!

Przygotowanie odpowiednich polityk ochrony danych pomaga w trakcie kontroli wykazać przestrzeganie szeregu zasad wynikających z RODO. Zwłaszcza w większych organizacjach wdrożenie odpowiedniej polityki ochrony danych oraz przeszkolenie z niej pracowników pozwala administratorom danych wykazać, że wprowadzili odpowiednie procedury, np. „zasadę czystego biurka” czy też „czystego ekranu” oraz że zasady te są znane osobom upoważnionym do przetwarzania danych. W kontekście zasady rozliczalności wdrożenie takich polityk może okazać się niezbędne w celu wykazania prawidłowego przetwarzania danych osobowych.