Prezes Urzędu Ochrony Danych Osobowych (PUODO, przed 25.05.2018 r. GIODO) przypomina, że w związku z rozpoczęciem stosowania RODO oraz wejściem w życie nowej ustawy o ochronie danych osobowych, tracą moc wcześniejsze wymagania odnośnie dokumentacji przetwarzania danych osobowych. Pojawia się zatem pytanie: dokumentacja zgodna z RODO, czyli jaka? A odpowiedź niestety nie jest prosta.
Jaka dokumentacja zgodna z RODO?
Jak wskazuje PUODO, obecnie dokumentacja przetwarzania danych osobowych musi być zgodna z wymaganiami określonymi w:
- rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO);
- ustawie z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000);
- krajowych przepisach sektorowych (np. regulujących zakres, rodzaje i wzory dokumentacji medycznej, określających dokumentację przebiegu studiów, nauczania, działalności wychowawczej czy opiekuńczej i in.)[1].
RODO jak i pozostałe przepisy nie zawierają wytycznych, jak powinna wyglądać prawidłowo przygotowana dokumentacja dot. zasady przetwarzania danych osobowych w organizacji. RODO pozostawia w tym zakresie dużą swobodę. Nie oznacza to jednak, że od 25 maja 2018 r. administrator w ogóle nie ma obowiązku prowadzenia dokumentacji, która określa zasady i procedury przetwarzania danych osobowych w firmie. Należy pamiętać, że zgodnie z art. 24 RODO administrator wdraża odpowiednie środki techniczne i organizacyjne, aby (1) przetwarzanie odbywało się zgodnie z RODO i aby (2) móc to wykazać. Obowiązek rozliczenia się z przetwarzania danych osobowych zgodnie z RODO będzie w większości determinował formę dokumentacji z zakresu przetwarzania danych osobowych.
Co ważne, dotychczas stosowana dokumentacja w postaci polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym może być stosowana nadal pod warunkiem oczywiście, że zostanie dostosowana do wymagań RODO, tj. powinna zostać uzupełniona o procedury i środki techniczne, mające wykazać zgodność realizowanych procesów przetwarzania z wymaganiami RODO.
Jakie środki organizacyjne i techniczne?
O tym, jakie procedury i środki powinny zostać zastosowane decyduje charakter, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Mówiąc prościej – decyduje o tym specyfika firmy/organizacji/podmiotu, w którym dane są przetwarzane, aktywa tego podmiotu, zakres przetwarzanych danych osobowych czy cele tego przetwarzania itp. Aby zatem prawidłowo przygotować dokumentację dla konkretnego podmiotu konieczne jest dokładne poznanie jego środowiska, zasad funkcjonowania, stosowanych praktyk, zasad i środków pozyskiwania danych osobowych, celu pozyskiwania tych danych, sposobów ich przetwarzania czy obiegu danych osobowych. Należy również uwzględnić fakt, iż nie zawsze to, co firma pozyskuje na wejściu jest daną osobową, czasem dopiero wskutek „obróbki” w ramach organizacji danego podmiotu otrzymujemy dane osobowe (dane osobowe na wyjściu).
adw. Wioletta Gołębiewska
[1] Więcej pod linkiem https://uodo.gov.pl/pl/138/273.