Czy polityki i procedury ochrony danych są potrzebne ?
Często zadawane nam jest pytanie jak w powyższym tytule, również podobne; jak wygląda skuteczna polityka ochrony danych zgodna z RODO ? jakie procedury powinna zawierać ? co zrobić, żeby nie była „martwym” dokumentem ? postaramy rozjaśnić tematykę w tym artykule.
RODO jest aktem prawnym bardzo elastycznym w porównaniu np. z Rozporządzeniem MSWiA w sprawie określania podstawowych warunków technicznych i organizacyjnych (z 15 lipca 1998) czy w sprawie dokumentacji przetwarzania danych osobowych (z 1 maja 2004). Aby być zgodnym z RODO, należy udokumentować to w następujący sposób:
- wdrożyć niezbędne polityki i procedury,
- prowadzić odpowiednie rejestry i ewidencje,
- dokonywać regularnych analiz zgodności, ryzyka czy oceny skutków dla ochrony danych, gdy jest ona potrzebna,
- stosować właściwe postępowania i klauzule w umowach, formularzach, na stornach internetowych oraz w innych miejscach, gdzie przetwarzane są dane osobowe.
Same RODO zawiera następujące regulacje:
- motyw 79 preambuły – aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki.
- Art. 24 ust. 2 – Jeśli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
RODO nie precyzuje, jakie polityki ochrony danych należy wdrożyć. Dobre polityki i procedury pozwalają znaleźć odpowiedź na pytania związane z ochroną danych: jak przetwarzać dane osobowe, jak je zabezpieczać, komu zgłaszać incydent i jakie czynności podjąć po jego wykryciu, a także jak przeprowadzić wymagane analizy. Dokumenty podzieliliśmy na wymagane przez RODO oraz zalecane wyczytane „między wierszami RODO” wynikające z naszego doświadczenia:
| Dokument | Statut | Funkcja | Źródło RODO |
| Polityka ochrony danych osobowych | Zalecany | Zbiór wszystkich procedur ochrony danych | Art. 24 ust. 2 |
| Zasady retencji danych | Wymagany | Mówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osobowe | Art. 5 ust. 1 lit. e) |
| Zasady privacy by design i privacy by default | Wymagany | Mówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach IT | Art. 25 |
| Struktura organizacyjna w zakresie ochrony danych osobowych | Wymagany | Kto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.). | Art. 24 ust. 1, Art. 32 ust. 1 |
| Procedura nadawania upoważnień | Wymagany | W jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowych | Art. 29 |
| Ewidencja upoważnień | Zalecany | Kontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnienia | Art. 29 |
| Procedura szkoleń | Zalecany | W jaki sposób szkolimy personel uczestniczący w przetwarzaniu danych | Art. 39 |
| Postępowanie z incydentami ochrony danych osobowych | Wymagany | Kto i w jaki sposób reaguje na incydenty ochrony danych osobowych | Art. 33 |
| Ocena skutków dla ochrony danych osobowych (DPIA) | Wymagana | Kiedy i w jaki sposób oceniamy skutki dla ochrony danych | Art. 35 |
| Realizacja praw osób, których dane dotyczą | Wymagana | Kto i w jaki sposób realizuje prawa osób, których dane dotyczą | Art. 7 ust. 3 Art. 12 – 22 |
| Procedura audytu wewnętrznego | Zalecany | Kto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji. | Art. 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b) |
| Kontrola podmiotów przetwarzających | Zalecany | W jaki sposób i kiedy kontrolujemy procesorów | Art. 28 ust. 3 lit. h) |
| Opis środków bezpieczeństwa | Wymagany | Jakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznej | Art. 24 ust. 1, Art. 32 ust. 1 |
| Rejestr czynności przetwarzania | Wymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5 | Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułce | Art. 30 ust. 1 |
| Rejestr kategorii czynności przetwarzania | Wymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5 | Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzone | Art. 30 ust. 2 |
| Procedury IT | Zalecany | Sposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowych | Art. 24 ust. 1, Art. 32 ust. 1 |
| Materiały informacyjne dla pracowników i współpracowników | Zalecany | Podnoszenie świadomości pracowników w zakresie ochrony danych osobowych | Art. 39 |
Dokumentów jest całkiem sporo, ponieważ administrator ma też dużo obowiązków związanych z ochroną danych osobowych. Wewnętrzne polityki i procedury powinny być przede wszystkim użyteczne i zrozumiałe – zapewniać możliwie najefektywniejsze wdrożenie RODO. Dokumentacja ma przede wszystkim ułatwić ochronę danych osobowych w organizacji. Na kształt dokumentacji będzie miał wpływ rodzaj i wielkość prowadzonej działalności. Jeśli nie czujesz się na siłach aby stworzyć wymaganą dokumentację i to zadanie cię przerasta, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/