Ogólna analiza ryzyka jako punkt wyjścia dla dokumentacji RODO

W poprzednim rozdziale poradnika w części dotyczącej analizy ryzyka szczegółowo omówiono pojęcie ryzyka (naruszenia praw i wolności osób, których dane są przetwarzane), uporządkowano chaos terminologiczny poprzez wyjaśnienie różnic między ogólną analizą ryzyka, oceną skutków dla ochrony danych (DPIA, OSOD) i oceną skutków dla prywatności osób, których dane dotyczą (PIA), a także przedstawiono metodologię opracowania ogólnej analizy ryzyka. Impulsem do treści artykułu był wykaz niezbędnej dokumentacji przetwarzania danych osobowych zgodnie z RODO, zamieszczony przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) na stronie Urzędu[1]. Komunikat Prezesa UODO stanowił odpowiedź na głosy komentatorów i praktyków, jakoby RODO zwalniało organizacje z obowiązku prowadzenia dokumentacji przetwarzania danych osobowych: „(...) nieprawdą jest, jak twierdzą wprost niektórzy eksperci, że RODO znosi uciążliwy dotąd obowiązek prowadzenia dokumentacji przetwarzania danych (...)”,  a także: „Brak w RODO wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych na wzór nieobowiązującego już rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych (...) nie oznacza, że od 25 maja 2018 r. administrator nie jest zobowiązany do prowadzenia dokumentacji, w której określone byłyby zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi”. Obowiązek posiadania dokumentacji przetwarzania danych osobowych Prezes UODO wyprowadził przy tym z art. 24 RODO, nakładającego na administratora danych osobowych obowiązek wykazania przestrzegania przepisów RODO – „Wymaganie zawarte w art. 24 RODO (...) oznacza w praktyce, że sposób przetwarzania danych, związane z nim procedury, jak i zastosowane zabezpieczenia techniczne i organizacyjne również powinny zostać zawarte w przedmiotowej dokumentacji – jako spełnienie obowiązku wykazania, że przestrzegane są wymagania RODO”, oraz z art. 32 RODO zobowiązującego administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych w stopniu adekwatnym do ryzyka tego przetwarzania: „Ponadto obowiązek prowadzenia dokumentacji przetwarzania danych wynika pośrednio również z art. 32 RODO, dotyczącego bezpieczeństwa przetwarzania (...)”.

Jak należy sądzić, intencją Komunikatu Prezesa UODO było potwierdzenie obowiązku posiadania przez organizację dokumentacji przetwarzania danych osobowych oraz zarysowanie jej zakresu w nowym porządku prawnym. Treść komunikatu może budzić jednak pewne wątpliwości wpływające na praktykę opracowywania dokumentacji przetwarzania danych osobowych. Odnosząc się do możliwości wykorzystania dotychczasowej dokumentacji przetwarzania danych, opracowanej zgodnie z rozporządzeniem[2], Prezes UODO proponuje dwa możliwe rozwiązania:

„przeniesienie” dotychczasowej dokumentacji do nowej, pod warunkiem że „prowadzona wg dotychczas obowiązujących wymagań dokumentacja zawierała wymagane elementy, takie jak inwentaryzacja zasobów informacyjnych, opis przepływu danych między systemami czy specyfikacje środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych

albo

„uzupełnienie” dotychczasowej dokumentacji o nowe elementy.

Zgodnie z Komunikatem Prezesa UODO tymi nowymi elementami mają być:

  • rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania (art. 30 RODO),
  • wytyczne dotyczące klasyfikacji naruszeń i procedura zgłaszania naruszenia ochrony danych do organu nadzorczego (art. 33 ust. 3 RODO),
  • procedura na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób w zakresie ich informowania o działaniach, jakie powinni wykonać, aby ryzyko to ograniczyć (art. 34 RODO),
  • procedura prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych (art. 33 ust. 5 RODO),
  • raport z przeprowadzonej ogólnej analizy ryzyka,
  • raport z oceny skutków dla ochrony danych (art. 35 ust. 7 RODO) – jeśli dotyczy,
  • procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy,
  • plan cią...

Dalsza część jest dostępna dla użytkowników z wykupionym planem