iSecure logo
Blog

Dokumentacja RODO a zasada rozliczalności. DODATEK: Pytania weryfikujące.

Przemysław Siarka

W ubiegłym miesiącu przedstawiliśmy Wam artykuł o dokumentacji zgodnej z RODO. Nie tylko wymieniliśmy podstawowe dokumenty niezbędne przedsiębiorcy, ale dodatkowo opisaliśmy czego one dotyczą i co powinny zawierać. Jeżeli jeszcze nie czytaliście, gorąco zachęcamy

W międzyczasie brytyjskie Biuro Komisarza ds. Informacji (ang. Information Commissioner’s Office – ICO) wydało wytyczne dotyczące zasady rozliczalności. Co prawda dokument został przedstawiony dla celów dalszej konsultacji (jego zatwierdzona wersja może mieć nieznacznie zmienioną treść), niemniej zawiera ciekawe spostrzeżenia, którymi podzielimy się z Wami. Przedstawimy głównie zasady, które pomogą w tworzeniu dokumentacji zgodnej z RODO. Zgodnej, czyli spełniającej m. in. wspomnianą zasadę rozliczalności. 

Zasada rozliczalności?

O zasadzie rozliczalności pisaliśmy niedawno w kontekście Działów HR. Jest też często wspominana przy okazji omawiania większości artykułów. Nie powinno to dziwić, ponieważ jest jedną z najważniejszych zasad. To ona nakazuje przedsiębiorcy wykazanie, że przepisy RODO są przez niego faktycznie przestrzegane. Krótko mówiąc, kontrolerzy z Urzędu Ochrony Danych Osobowych mają ułatwione zadanie, bo zapytają czy jesteśmy zgodni z RODO, a my musimy udowodnić, że zorganizowaliśmy przetwarzanie danych osobowych w naszej organizacji w sposób prawidłowy, czyli bezpieczny, zgodny z zasadami wynikającymi z unijnego rozporządzenia.

O czym mówią wytyczne ICO?

Dokument z wytycznymi został podzielony na 10 kategorii, a one na mniejsze jednostki redakcyjne, przy czym każda mieści się na jednej stronie. Budowa dokumentu jest niezwykle przejrzysta. Oprócz wskazówek zawiera pomocne pytania sprawdzające spełnienie założeń przez przedsiębiorcę. Wytyczne dotyczą realizacji zasady rozliczalności w takich kategoriach, jak m. in. umowy i udostępnianie danych, przejrzystość, spełnianie praw osób, których dane przetwarzamy czy polityki i procedury. W niniejszym artykule skupimy się na ostatniej kategorii, aby sprawdzić co do powiedzenia ma ICO w zakresie należytego tworzenia dokumentacji zgodnej z RODO – aby była zgodna z zasadą rozliczalności. Zawiera ona 4 sekcje, które omówimy poniżej.

Kierunek i wsparcie – czyli quo vadis Polityko bezpieczeństwa?

Według brytyjskiego organu ramy Polityki powinny wynikać z ustalonego przez kierownictwo planu biznesowego obejmującego procesy, w których występuje przetwarzanie danych osobowych i zarządzanie informacją. Najpierw należy spojrzeć całościowo na organizację, a następnie objąć dokumentacją wszystkie obszary (działy, czynności) przetwarzania danych, czyli dostosować treści procedur do operacji występujących w firmie. Innymi słowy – opisać sposób bezpiecznego zarządzania danymi osobowymi w każdym procesie i każdej jednostce organizacyjnej. Powinno w tym uczestniczyć kierownictwo wyższych szczebli, aby przykład czynnego zaangażowania w sprawdzanie procesów (audyt) i tworzenie procedur szedł z góry. W tym punkcie ICO wskazuje, że wszelkie procedury czy wytyczne powinny być łatwo dostępne dla wszystkich pracowników, a kierownictwo powinno bezpośrednio udzielać wskazówek swojemu personelowi. Dodatkowo Polityka powinna wyraźnie wskazywać na role i obowiązki w zakresie ochrony danych, w tym osoby odpowiedzialne za realizację poszczególnych działań np. wdrażanie procedur

Przegląd i zatwierdzanie dokumentacji.

Tworząc dokumentację należy pamiętać, aby wyrażenia były spójne. Poszczególne załączniki do Polityki nie powinny zawierać odmiennych sformułowań oznaczających to samo. Stosujmy uzgodniony format i styl dokumentacji. Dodatkową wskazówką udzieloną przez ICO jest to, aby najstarszy stażem pracownik przeglądał i zatwierdzał wszystkie nowe i istniejące zasady znajdujące się w dokumentacji. Może to wynikać z największej wiedzy o procesach zachodzących w organizacji.

Przegląd Polityki bezpieczeństwa i innych procedur powinien być dokumentowany. Jeżeli istnieje konieczność aktualizacji wytycznych należy tego dokonać bez zbędnej zwłoki, w szczególności jeżeli zmiany są podyktowane decyzją Prezesa UODO, sądu czy zmianą wytycznych uprawnionych organów (np. unijnych organów doradczych). Każdy dokument powinien mieć numer wersji, właściciela, datę przeglądu i historię zmian.

Pracownicy mają świadomość procedur i zasad przetwarzania danych, na pewno?

Wszystkie dokumenty powinny być napisane w sposób klarowny, aby pracownicy rozumieli zasady i procedury oraz mieli świadomość dlaczego ich wdrożenie i stosowanie jest ważne. Pracownicy powinni być informowani o aktualizacji dokumentów i o miejscu, w którym mogą znaleźć wszystkie aktualne wytyczne. Dodatkowe treści również są wskazane (np. plakaty, przypominajki wysyłane na maila), w celu podniesienia świadomości pracowników..

Privacy by design, privacy by default.

Wszelkie dokumenty powinny nie tylko uwzględnić ryzyka i dostosować do nich sposoby zabezpieczenia danych, ale ponadto muszą uwzględniać zasady projektowania domyślnej ochrony danych. Dla firmy oznacza to, że powinna przewidywać ryzyka i zagrożenie dla prywatności przed ich pojawieniem się, uwzględnić ochronę danych już na etapie projektowania jakiegoś procesu i przyjąć wszystkie możliwe założenia dla prywatności jako domyślne. Dokumentacja powinna go w tym wspierać, biorąc pod uwagę przy każdym procesie, którego dana procedura dotyczy (również przy tych planowanych), m. in. zamierzone czynności przetwarzania czy możliwe środki ograniczające ryzyko naruszenia danych osobowych.

Podsumowanie – dlaczego treść i świadomość procedur ma znaczenie?

Polityka bezpieczeństwa (polityka ochrony danych) i inne procedury jej towarzyszące są najważniejszymi dokumentami dotyczącymi ochrony danych osobowych u przedsiębiorcy. Pracownik powinien je znać i rozumieć, aby móc stosować. Jeżeli w sposób przejrzysty i spójny nie zakomunikujemy pracownikom, co powinni robić, jak postępować z danymi osobowymi i dlaczego to jest ważne dla organizacji w której pracują, to według brytyjskiego organu dokumenty te nie będą miały sensu, ponieważ nie będą spełniały swojej podstawowej roli. Poziom szczegółowości dokumentów może być różny, co jest uzależnione od wielkości firmy, ryzyka czy przetwarzanych danych. Jednak należy pamiętać, że nie liczy się grubość segregatora, a dobranie skutecznych zasad i procedur, które w praktyce pozwolą wypełnić obowiązki prawne przedsiębiorcy w zakresie wymogów stawianych mu przez RODO.

 

BONUS! Checklista od ICO pomagająca wskazać w którym miejscu znajdujesz się w zakresie realizacji zasady rozliczalności przy tworzeniu dokumentów.

Czy potrafisz twierdząco odpowiedzieć na poniższe pytania?

  1. Czy pracownicy wiedzą, gdzie znaleźć odpowiednie wytyczne dotyczące przetwarzania danych w Twojej organizacji i czy łatwo je znaleźć?
  2. Czy personel w Twojej firmie potrafiłby wyjaśnić swoją rolę i obowiązki w zakresie bezpieczeństwa przetwarzania danych i czy dostarczone wytyczne/procedury im w tym pomagają?
  3. Czy dyrektorzy/kierownictwo wyższego szczebla jest świadome konieczności ochrony danych osobowych?
  4. Czy proces zatwierdzania dokumentów/sposobu przetwarzania danych jest odpowiedni?
  5. Czy treści w procedurach są zrozumiałe dla pracowników?
  6. Czy są udostępniane dodatkowe materiały pracownikom podnoszące świadomość w zakresie ochrony danych osobowych i czy są łatwo dostępne?
Pobierz wpis w wersji pdf

Podobne wpisy:

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.
Agnieszka Rapcewicz

Co dalej z transferem danych osobowych do państw trzecich? Kilka słów o projekcie standardowych klauzul umownych

Aktualnie najbardziej palącą kwestią związaną z przetwarzaniem danych osobowych jest ich przekazywanie do państw trzecich. Chociaż od wydania wyroku w sprawie Schrems II minęły już 4 miesiące, nadal tak naprawdę nie mamy jasności, jakie kroki należy podjąć w przypadku przekazywania danych osobowych poza EOG, zwłaszcza do USA. Listopad przyniósł nam dwie niespodzianki jeśli chodzi o […]

Przydatne aplikacje
Agnieszka Rapcewicz

When does the processor become a controller?

Can the processor also act as a controller in the course of a personal data processing entrustment agreement? Can the processor, after termination of the entrustment agreement, become the controller of personal data which it previously processed only on behalf of another entity? Answers to these questions are important for determining the duties and potential […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
Katarzyna Ułasiuk

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz Co się zmienia? W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki