Prawny start w startup. Co powinna zawierać dokumentacja RODO?
RODO w startupach, fot. Adobe StockRODO, w odróżnieniu od poprzednio obowiązujących przepisów z zakresu ochrony danych osobowych, nie nakłada wprost na administratorów obowiązku prowadzenia w firmie rozbudowanej dokumentacji przetwarzania danych, np. w postaci polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, czy ewidencji osób upoważnionych. Nie oznacza to jednak, że firma posiadająca dane osobowe nie jest w ogóle zobowiązana do udokumentowania zasad i procedur ich przetwarzania i ochrony w swojej organizacji. Należy bowiem pamiętać, że administrator danych jest odpowiedzialny za przestrzeganie zasad i wymogów RODO oraz jest zobowiązany do wykazania, że je spełnia (zasada rozliczalności). W kilku obszarach, RODO wyjątkowo określa pewne wymagania dotyczące sposobu i zakresu obowiązku dokumentacyjnego.
Dlaczego firmie potrzebna jest dokumentacja ochrony danych osobowych?
Obowiązkiem każdego administratora jest zapewnienie zgodności z zasadami i celami formułowanymi w przepisach RODO. Dotyczy to całego procesu przetwarzania danych, począwszy od ich legalnego pozyskiwania i korzystania z nich, odpowiedniego zabezpieczenia przetwarzanych danych przed utratą lub nieuprawnionym dostępem, aż do momentu usunięcia. Adresatem wskazanego obowiązku jest każdy przedsiębiorca gromadzący i wykorzystujący dane w ramach obsługi swojej firmy lub projektowanego produktu, usługi bądź technologii, niezależnie od fazy rozwoju swojej działalności, wielkości zatrudnienia, czy formy prawnej, w której realizuje dane przedsięwzięcie. W tym celu firma powinna określić i wdrożyć odpowiednie i skuteczne środki techniczne i organizacyjne składające się na system ochrony danych w organizacji. Oznacza to, że z jednej strony, RODO wymaga od administratora wprowadzenia właściwych rozwiązań technicznych oraz informatycznych (np. szyfrowanie danych, tworzenia kopii zapasowych, korzystanie z programów antywirusowych i firewall), a z drugiej – sformułowania i wdrożenia zasad postępowania z danymi w odpowiedni sposób przez osoby, które te dane przetwarzają w organizacji.
Ponadto, administrator, zgodnie z przyjętą przez RODO zasadą rozliczalności, musi być w stanie wykazać, że środki te skutecznie wdrożył, stosuje oraz w razie potrzeby poddaje regularnym przeglądom i aktualizacji. W ślad za wytycznymi Prezesa UODO, aby sprostać temu wymogowi, administrator powinien uregulować w odpowiedniej dokumentacji sposób przetwarzania danych, związane z nim procedury oraz zastosowane zabezpieczenia techniczne i organizacyjne. Co ważne, RODO nie wskazuje w tym zakresie formalnych wytycznych, które powinna spełniać taka dokumentacja, zarówno dotyczących sposobu jej prowadzenia, jak i zawartości (elementów), pozostawiając tym samym administratorom dość szeroką swobodę i luz decyzyjny w jej kształtowaniu. Niemniej jednak, trzeba pamiętać, że RODO w odniesieniu do niektórych obszarów przetwarzania danych ogranicza wspomnianą dowolność i wprost wskazuje konieczność posiadania w firmie określonego rodzaju dokumentów. W konsekwencji, ich wprowadzenie do organizacji stanowi obowiązek prawny, którego naruszenie naraża firmę na ryzyko nałożenia administracyjnej kary pieniężnej w wysokości nawet do 10.000.000 euro.
Wymagania formalne określone w RODO
Nie ulega wątpliwości, że zasadniczym dokumentem, którego posiadania RODO wymaga od każdego administratora, jest rejestr czynności przetwarzania danych osobowych, które dany administrator gromadzi i za które odpowiada. Rejestr ten jest jednym z najistotniejszych dokumentów, ponieważ obrazuje procesy przetwarzania danych w organizacji. Z tego względu RODO wylicza minimalne i obowiązkowe elementy tego rejestru, w tym: (i) cele przetwarzania określonych kategorii danych, (ii) kategorie osób, których te dane dotyczą, (iii) odbiorców danych, także w państwach trzecich oraz (iv) stosowane środki ochrony danych (art. 30 ust. 1 RODO). Rejestr powinien być prowadzony w formie pisemnej, np. papierowej lub elektronicznej. Przykładowy szablon wraz z praktycznymi wyjaśnieniami został udostępniony przez Prezesa UODO na stronie urzędu (https://uodo.gov.pl/pl/123/214). Wprawdzie z obowiązku prowadzenia rejestru formalnie zwolnieni są przedsiębiorcy zatrudniający mniej niż 250 osób, jednak zwolnienie to nie dotyczy sytuacji, w których przetwarzanie danych „może powodować ryzyko naruszenia praw lub wolności podmiotów danych” (np. ryzyko ujawnienia danych osobom nieuprawnionym), „nie ma charakteru sporadycznego” (tzn. następuje systematycznie, choćby w niewielkiej skali) lub obejmuje m.in. dane wrażliwe (np. dotyczące zdrowia). Z uwagi na dość wąski charakter powyższego zwolnienia, niewątpliwie, obowiązek prowadzenia rejestru dotyczy co do zasady zdecydowanej większości przedsiębiorców, którzy przetwarzają dane osobowe. Co ważne, europejskie wytyczne Grupy Roboczej Art. 29 wprost wskazują, że nie może zostać uznane za „sporadyczne przetwarzanie” systematyczne korzystanie z danych swoich pracowników lub klientów, nawet przez małą organizację (https://www.uodo.gov.pl/pl/3/1351).
RODO wymaga również od każdego administratora danych rzetelnego udokumentowania wszystkich naruszeń ochrony danych osobowych, także tych nie podlegających zgłoszeniu do Prezesa UODO, a zatem zarówno włamań do firmowej sieci i serwerów, jak i kradzieży laptopa, czy wysłania e-maila do niewłaściwego odbiorcy. W konsekwencji, każda firma powinna prowadzić wewnętrzny rejestr naruszeń, obejmujący co najmniej informację na temat: (i) okoliczności naruszenia ochrony danych osobowych, (ii) skutków naruszenia, oraz (iii) podjętych działań zaradczych.
Ponadto, w przypadku niektórych firm, konieczne może okazać się sporządzenie raportu z oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Obowiązek przeprowadzenia tej oceny dotyczy w szczególności firm, gdzie przetwarzanie danych, zwłaszcza z użyciem nowych technologii, może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, np. w postaci kradzieży tożsamości, dyskryminacji, szkoda finansowej lub wizerunkowej. Mowa tutaj m.in. o firmach, które przetwarzają dane, w tym dane wrażliwe , na dużą skalę (np. portale i sklepy internetowe), a także dane lokalizacyjne, stosują ewaluację lub ocenę, w tym profilowanie (np. rekrutacja pracowników), systemy regularnego monitorowania (np. monitoring czasu pracy pracowników) lub podejmują decyzje w sposób zautomatyzowany (np. profilowanie klientów pod kątem zidentyfikowania preferencji zakupowych). RODO określa w sposób szczegółowy zakres oceny, który podlega udokumentowaniu i który obejmuje m.in. opis planowanych operacji przetwarzania i celów przetwarzania, ocenę niezbędności i proporcjonalności przetwarzania do celów, ocenę ryzyka naruszenia praw lub wolności osób fizycznych oraz planowane środki ograniczenia tego ryzyka, w tym zabezpieczenia danych. Nie ulega wątpliwości, że ocena ta wraz z wynikami powinna zostać utrwalona. Wydaje się, że dopuszczalna jest zarówno forma pisemna, jak i elektroniczna. Co istotne, z uwagi na skomplikowany i rozbudowany charakter powyższego obowiązku rekomenduje się aby przedsiębiorcy, objęci tym wymogiem, rozważyli opracowanie wewnętrznych procedur lub przynajmniej wytycznych oraz formularzy wspomagających proces, w szczególności dla jakich operacji przetwarzania należy przeprowadzić ocenę. Warto wspomnieć, że pomocnych wskazówek w tym zakresie dostarcza wykaz rodzajów takich operacji opublikowany przez Prezesa UODO na stronie urzędu (https://uodo.gov.pl/424).
Trzeba zauważyć, że RODO nie zastrzega dla powyższej dokumentacji określonej nazwy, czy struktury. Ważne jest aby administrator potrafił wykazać, że posiada te dokumenty a ich zawartość obejmuje obligatoryjne elementy.
Kolejną kwestią, którą RODO doprecyzowuje jest forma i minimalna treść umowy powierzającej oraz pod-powierzającej przetwarzanie danych innemu podmiotowi w imieniu i na rzecz administratora. Należy pamiętać, że korzystając z usług zewnętrznej firmy w zakresie np. obsługi kadrowo-płacowej, księgowej lub hostingu konieczne jest pisemne, w tym elektroniczne udokumentowanie zawarcia umowy z każdym podmiotem. Co ważne, naruszenie powyższego wymogu, tj. zawarcie umowy ustnej wprawdzie jest skuteczne na gruncie prawa cywilnego, jednak stanowi naruszenie RODO i niesie za sobą ryzyko administracyjnej kary pieniężnej.
Jaka dokumentacja jest zalecana i wskazana?
Trzeba zauważyć, że ograniczenie w firmie dokumentacji ochrony danych osobowych do wskazanej powyżej, może okazać się w większości przypadków niewystarczające do zapewnienia zgodności z RODO w organizacji. Należy bowiem pamiętać o wspomnianym obowiązku „rozliczalności”, z którym wiąże się konieczność uregulowania zasad i sposobów przetwarzania danych oraz stosowanych zabezpieczeń, w szczególności na potrzeby ewentualnego postępowania kontrolnego prowadzonego przez organ nadzorczy. Co więcej, RODO zobowiązuje do wprowadzenia w firmie „odpowiednich polityk ochrony danych” (art. 24 ust. 3) ale jedynie wówczas, gdy jest to proporcjonalne w stosunku do czynności przetwarzania, nie precyzując jednocześnie zakresu merytorycznego, ani formy takiej dokumentacji. Kluczowy jest zatem cel, który każdy administrator danych ma osiągnąć, środkami i narzędziami dobranymi do okoliczności, kontekstu przetwarzania, zidentyfikowanych ryzyk oraz własnych zasobów i możliwości. Nie są to jednak jedyne powody, dla których warto w firmie, pomimo braku bezwzględnego wymogu, prowadzić dodatkową dokumentację przetwarzania danych osobowych, np. w postaci regulaminów, instrukcji, czy podręczników. Równie istotne jest bowiem szerzenie świadomości wśród pracowników firmy odnośnie tego w jaki sposób powinni postępować z danymi. Co więcej, wdrożenie odpowiednich procedur pozwala usprawnić wewnętrzne procesy np. z zakresu monitorowania i reagowania na naruszenia ochrony danych, czy realizacji praw podmiotów danych.
RODO nie wymienia dokumentów jakie administrator powinien posiadać, aby osiągnąć powyższe założenia i cele dlatego do wyłącznej decyzji administratora należeć będzie decyzja co do treści, kształtu, rodzajów i liczby wewnętrznych regulacji. Ważne jednak aby tworząc taką dokumentację zwrócić uwagę na realne potrzeby firmy, a zatem dopasowanie dokumentacji do danej organizacji – wewnętrzne regulacje powinny bowiem realnie spełniać swoją praktyczną rolę w firmie. Niezbędne jest również uwzględnienie w procesie ich tworzenia zidentyfikowanego ryzyka, z jakim wiąże się przetwarzanie danych, skali przetwarzania, ilości przetwarzanych danych, podmiotów, których te dane dotyczą oraz długości przetwarzania.
Niezależnie od powyższych czynników wpływających na sposób ukształtowania dokumentacji, warto wskazać obszary, których uregulowanie jest rekomendowane w każdej firmie:
1) Podział zadań i obowiązków z zakresu ochrony danych osobowych wewnątrz organizacji;
2) Ogólne zasady przetwarzania danych osobowych w firmie oraz dostępu do danych przez personel;
3) Sposób przekazywania klauzuli informacyjnej (np. w formie polityki prywatności) podmiotom danych oraz udzielania odpowiedzi na ich żądania;
4) Sposób zbierania zgód na przetwarzanie danych osobowych;
5) Sposób zarządzania naruszeniami ochrony danych osobowych;
6) Stosowane środki zabezpieczania danych, w tym związane z przetwarzaniem danych osobowych w programach komputerowych;
7) Zasady prowadzenia i dokumentowania analizy ryzyka;
8) Zasady retencji danych osobowych oraz ich usuwania i anonimizacji;
9) Procedura uwzględniania ochrony danych w fazie projektowania i domyślna ochrona danych;
10) Zasady prowadzenia szkoleń;
11) Zasady prowadzenia kontroli wewnętrznej oraz kontroli podmiotów przetwarzających.
Ponadto, w dokumentacji warto również zawrzeć wzory stosowanych klauzul zgód, klauzuli informacyjnej, a także umowy powierzenia przetwarzania danych.
Użyteczność wewnętrznej dokumentacji
Bez wątpienia dokumentacja RODO ma za zadanie przede wszystkim wykazać, że dane osobowe są przetwarzanie w organizacji zgodnie z wymogami RODO oraz, że firma wypełnia ciążące na niej obowiązki administratora danych. Jednak kształtując wewnętrzną dokumentację RODO nie można zapominać o jej walorze praktycznym. Nie chodzi o tworzenie rozbudowanych regulacji i dokumentów, lecz o takie procedury zawarte w tej dokumentacji, które da się realnie wykorzystywać w codziennym funkcjonowaniu - dopasowane do ryzyk przetwarzania danych oraz specyfiki organizacji. Aby dokumentacja miała wartość użytkową powinna zostać sformułowana w sposób przejrzysty i zrozumiały oraz być wewnętrznie wiążąca, tj. przyjęta np. uchwałą zarządu spółki lub poprzez podpisanie przez wspólników. Dokumentacja powinna przy tym jasno wskazywać zachowania jakiś oczekuje się od pracowników w procesie przetwarzania danych aby minimalizować ryzyko korzystania z danych w sposób niezgodny z przepisami RODO.