Krzysztof Wiączek
Wprowadzenie
W dzisiejszej części w dalszym ciągu zajmować się będziemy obowiązkowymi dokumentami, które powinna posiadać każda organizacja funkcjonująca w pełnej zgodzie z przepisami RODO. W ramach niniejszej analizy zostaną omówione dokumenty związane z wykazaniem przez administratora szeroko pojętego bezpieczeństwa pozyskiwanych danych oraz wdrożenia technicznych i organizacyjnych środków temu służących. Oprócz tego przedstawiony zostanie dokumenty oceny skutków dla ochrony danych, który mimo, że również wlicza się do obowiązkowej dokumentacji RODO, bardzo często bywa pomijany przez wiele firm.
Zasady privacy by design i privacy by default
Dokumentacja odnosząca się do tych zasad dotyczy realizacji wykazania uwzględnienia ochrony danych odpowiednio w fazie projektowania (privacy by design) oraz w ustawieniach domyślnych (privacy by default). Obowiązek wytworzenia przez administratora dokumentów potwierdzających wdrożenie odpowiednich środków technicznych w celu ochrony danych wynika wprost z treści przepisu art. 25 ust. 1 RODO. Jak wskazuje J. Rzymowski, nie można z góry określić treści obu dokumentów, gdyż wynika ona ze specyfiki prowadzonej działalności, dlatego też przepisy RODO dają administratorom pewną swobodę w kształtowaniu środków służących zabezpieczeniu danych. Przydatna w tym może okazać się przeprowadzona ocena ryzyka, o której będzie mowa w dalszej części.
W przypadku dokumentu umożliwiającego wykazanie ochrony danych w fazie projektowania, administrator może niejako wbudować ten dokument w proces zakupu systemu (np. poprzez zażądanie od dostawcy zapewnienia, iż podczas projektowania systemu wdrożono odpowiednie środki techniczne i organizacyjne, jak pseudonimizacja, minimalizacja danych, niezbędne zabezpieczenie chroniące prawa osób, których dane dotyczą). Takie oświadczenie dostawcy powinno zostać włączone do dokumentacji RODO i jest wystarczające do realizacji obowiązku wynikającego z art. 25 ust. 1 rozporządzenia (choć oczywiście warto posiadać również szerszą dokumentację w tym zakresie – mogą temu służyć np. certyfikaty poświadczające samą deklarację danego dostawcy). Warto też mieć na uwadze, iż w przypadku udostępniania danych innym podmiotom, z którymi współpracujemy, to w naszej gestii pozostaje upewnienie się, że również te podmioty zapewniają odpowiedni stopień ochrony danych.
Jeśli natomiast chodzi o dokument umożliwiający wykazanie ochrony danych w ustawieniach domyślnych, nie musi on de facto znajdować się w dokumentacji RODO administratora (tak J. Rzymowski), jednakże oczywiście lepiej go posiadać. W sytuacji, gdy administrator nie posiada bowiem dokumentu poświadczającego realizację zasady privacy by default, musi on mieć realną możliwość uzyskania takiego dokumentu od dostawcy usługi (systemu). Co istotne, w ustawieniach domyślnych należy wprowadzić domniemaną zgodę jedynie na przetwarzanie danych niezbędnych, błędem jest domyślne ustawienie przetwarzania wszystkich możliwych danych, przez co konkretny użytkownik może wbrew własnej woli „zgodzić się” na szerszy zakres zbieranych informacji, niż jest to konieczne do korzystania z usług administratora. Takie działanie, nierzadko spotykane na wielu stronach internetowych jest niezgodne z przepisami RODO, zwłaszcza z zasadą minimalizacji przetwarzania danych, bowiem zgoda na zbieranie informacji innych niż niezbędne, musi być wyrażona przez konkretną osobę świadomie i w wyniku jej własnej inicjatywy, nie zaś ustawień domyślnych proponowanych przez administratora.
Dokument oceny ryzyka
Kolejnym ważnym dokumentem, który powinien posiadać administrator danych jest dokument oceny ryzyka. Obowiązek jego wytworzenia wynika z art. 32 ust. 1 RODO w zw. z art. 32 ust. 2 RODO w zw. z art. 5 ust. 2 RODO. Nie jest przy tym wystarczające samo dokonanie oceny ryzyka związanego z przetwarzaniem danych (której obowiązek jest zapisany w art. 32 ust. 1 i 2 RODO), ale także posiadanie na to dowodu (co z kolei można wywieść z treści art. 5 ust. 2 RODO).
Podobnie jak w przypadku wielu innych dokumentów z zakresu RODO, również oceny ryzyka można dokonać na wiele sposobów (a następnie na wiele sposobów ją udokumentować). Zdaniem J. Rzymowskiego wygodnie jest oprzeć ją o rejestr czynności przetwarzania danych (RCPD) – w ramach każdej czynności administrator może ocenić ryzyko naruszenia praw i wolności osób fizycznych dla każdej z nich. Problemem, z którym najczęściej zmagają się administratorzy, jest to jak należy badać konkretne ryzyko. Optymalną w tym zakresie wydaje się być zdaniem autora metoda badania ryzyka naruszenia praw lub wolności przez pryzmat oceny zagrożeń dla realizacji zasad RODO. W jej realizacji kluczowym jest zadanie sobie pytania, jakie prawa osób fizycznych należy chronić i które z nich są bardziej, a które mniej narażone na naruszenia. W dalszych etapach autor metody, J. Rzymowski, proponuje przeprowadzenie w ramach analizy ryzyka następujących czynności:
Po pierwsze: Zestawienie czynności przetwarzania, co do których będzie oceniane ryzyko.
Po drugie: Wypisanie tych czynności w tabeli – w lewej kolumnie, pionowo, jedna pod drugą.
Po trzecie: Wypisanie w pierwszym wierszu zasad, poziomo, jedna obok drugiej. W przypadku bardziej rozbudowanego przetwarzania, można pogrupować czynności przetwarzania skorelowane z zagrożeniem naruszenia konkretnych zasad i w tym celu stworzyć kilka tabel.
Po czwarte: Przyjęcie skali, według której będzie oceniane prawdopodobieństwo naruszenia kolejnych zasad. Administrator ma w tym zakresie pełną dowolność, zalecana jest skala od 0 do 4, jednak dopuszczalna jest nawet skala trzystopniowa, a dla administratorów chcących bardziej precyzyjne oceniać ryzyko, nawet skala od 0 do 10.
Po piąte: Wpisanie w poszczególnych polach odpowiednich wartości, zgodnie z szacowanym prawdopodobieństwem.
W praktyce tabela może wyglądać, jak poniżej (wraz z częściowym, przykładowym wypełnieniem). Zastosowano w niej 4-stopniową skalę, gdzie 0 – brak ryzyka naruszenia praw lub wolności, 1 – niskie ryzyko, 2 – średnie ryzyko, 3 – wysokie ryzyko.
| Zgodność z prawem (legalność) | Rzetelność | Przejrzystość | Ograniczenie celu | Minimalizacja | Prawidłowość | Ograniczenie | Integralność | Poufność | Rozliczalność | |
| Zbieranie | 2 | 1 | 1 | 2 | 1 | 1 | 0 | 1 | 1 | 1 |
| Utrwalanie | 0 | 0 | 0 | 1 | 1 | 3 | 2 | 2 | 2 | 1 |
| Organizowanie | 1 | |||||||||
| Porządkowanie | 0 | |||||||||
| Przechowywanie | 2 | |||||||||
| Adaptowanie | 3 | |||||||||
| Modyfikowanie | 3 | |||||||||
| Pobieranie | 2 | |||||||||
| Przeglądanie | 3 | |||||||||
| Wykorzystywanie | 3 | |||||||||
| Ujawnianie poprzez przesłanie | 3 | |||||||||
| Ujawnianie poprzez rozpowszechnianie | 3 | |||||||||
| Udostępnianie | 3 | |||||||||
| Dopasowywanie | 1 | |||||||||
| Łączenie | 2 | |||||||||
| Ograniczanie | 1 | |||||||||
| Usuwanie | 3 | |||||||||
| Niszczenie | 3 |
Wdrożenie technicznych i organizacyjnych środków bezpieczeństwa
Kolejnym obowiązkiem w zakresie bezpieczeństwa przetwarzania danych jest posiadanie dokumentacji z zakresu wdrożenia technicznych i organizacyjnych środków bezpieczeństwa. Jeszcze nie tak dawno administratorzy w ramach tego obowiązku obowiązani byli do stworzenia i posiadania ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa (OOTiOŚB), obecnie jednak jest on zazwyczaj dołączany do RCPD i nie ma konieczności generowania go po raz kolejny w innej formie. Istotniejszym w tym względnie jest posiadanie dokumentu wdrożenia technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO. Stosownie do treści tego przepisu:
„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”.
Przepisy RODO nie wskazują wprost na treść dokumentu, mowa jest bowiem o wdrożeniu odpowiednich środków technicznych i organizacyjnych, które będą się różnić w zależności od charakteru i ilości zbieranych danych. Dokument może mieć zarówno formę papierową jak i elektroniczną, przy czym na wersji papierowej winien widnieć podpis osoby, która go sporządziła (przy dokumencie elektronicznym podpis nie jest konieczny, jednak autor dokumentu powinien być możliwy do ustalenia innymi sposobami). Dokument wdrożenia środków bezpieczeństwa powinien także zawierać datę, aby można było ustalić, kiedy administrator wdrożył środki w swojej organizacji. Zalecane jest też umieszczenie na nim wszelkich cech formalnych nadawanych dokumentom wewnętrznym (np. pieczęć nagłówkowa, nagłówek itp.). Przykładowy wzór takiego dokumentu może wyglądać następująco:
Dokument wdrożenia technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO – dokument wdrożenia środków technicznych i organizacyjnych odpowiednich dla zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia
Kierujący Administratorem danych osobowych ……………… (tu podajemy imię i nazwisko osoby uprawnionej do reprezentacji – np. prezesa, dyrektora)
wdraża, zgodnie z art. 32 ust. 1 RODO, środki techniczne i organizacyjne opisane w Ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa z dnia ……………..
Wdrożenie środków technicznych i organizacyjnych ma miejsce dnia ………………
Data ……………… (pozornie nie jest konieczna, jednak jej umieszczenie daje administratorowi lepszą pozycję w ewentualnym sporze).
Podpis osoby kierującej administratorem danych osobowych …………….. (nie jest konieczny, z ostrożności zaleca się go umieścić)
Jeśli chodzi o możliwe błędy występujące w praktyce przy tym rodzaju dokumentu, można do nich zaliczyć:
- całkowity brak dokumentu wdrożenia (stosowanie wyłącznie ogólnego opisu dołączonego do RCPD),
- szerszy bądź węższy zakres wdrożenia w dokumencie niż opis wdrażanych środków w OOTiOŚB,
- podpisanie dokumentu wdrożenia przez osobę nieupełnomocnioną do tego,
- wdrażanie środków technicznych ograniczających się wyłącznie do systemu informatycznego bądź wdrażanie środków organizacyjnych pomijających system informatyczny.
Dokument oceny skutków dla ochrony danych
Ostatnim z dokumentów omawianych w dzisiejszej analizie jest ocena skutków dla ochrony danych. Obowiązek jego posiadania wynika z art. 35 RODO, wedle którego ust. 1:
„Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.”.
Co więcej, dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony. Dokonanie oceny skutków dla ochrony danych jest wymagane w szczególności w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO;
lub
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Jeśli chodzi o treść dokumentu, wskazówkę dla administratorów może stanowić treść art. 35 ust. 7 RODO, który stanowi:
Ocena zawiera co najmniej:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1;
oraz
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Są to elementy obligatoryjne, natomiast administrator może we własnym zakresie podjąć decyzję o rozszerzeniu dokumentu o inne, fakultatywne elementy. Stosownie do art. 35 ust. 9 RODO, w stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania. Z kolei jak wynika z ust. 11 tego artykułu, w razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.
Przechodząc do przykładowego wzorca dokumentu oceny skutków, wskazać należy, iż powinien on składać się z części opisowej (raportu) oraz dołączonej do niego tabelki. Tabela może być analogiczna do tej tworzonej w ramach realizacji oceny ryzyka – pamiętać jednak należy, że nie może jej zastępować. Może też być stworzona na nowo, w wersji uproszczonej. Finalnie więc, dokument ten może wyglądać następująco:
Raport z oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych
Administrator danych ……………………..
- w związku z planowanym przetwarzaniem danych osobowych, w sposób opisany w art. 35 ust. 1 RODO
- w związku z faktem, że przetwarzanie to może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych
dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Planowana operacja przetwarzania to ……….. (tu należy wpisać nazwę czynności i ewentualnie opisać czynność).
Cel, w jakim będą przetwarzane dane to …………….. (tu należy wpisać cel przetwarzania, jeżeli jest to przepis, to należy wpisać „realizacja [tu należy podać artykuły RODO]”.
Planowana operacja przetwarzania
- jest proporcjonalna w stosunku do celu ………………… (można dodać uzasadnienie)
- nie jest proporcjonalna do celu …………………. (można dodać uzasadnienie)
Ocena naruszenia praw lub wolności osób, których dotyczą dane osobowe, które będą przetwarzane za pomocą planowanej operacji przetwarzania.
Dla oceny prawdopodobieństwa wystąpienia ryzyka poszczególnych uprawnień, administrator przyjmuje skalę: 1) niskie ryzyko, 2) średnie ryzyko, 3) wysokie ryzyko.
| [Nowa czynność] | |
| Zgodność z prawem (legalność) | |
| Rzetelność | |
| Przejrzystość | |
| Ograniczenie celu | |
| Minimalizacja danych | |
| Prawidłowość | |
| Ograniczenie przechowywania | |
| Integralność | |
| Poufność | |
| Rozliczalność |
Po dokonaniu oceny skutków należy wytworzyć dalszą część raportu, która może wyglądać jak poniżej:
Ocena skutków została przeprowadzona dnia …………………..
Ocena skutków wykazała, że przewidywane ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie jest wysokie. W związku z tym Administrator nie planuje konsultacji z Prezesem UODO.
lub
Ocena skutków wykazała, że przewidywane ryzyko naruszenia praw lub wolności osób, których dane dotyczą, jest wysokie. W związku z tym Administrator planuje konsultacje z Prezesem UODO, w sposób opisany w art. 36 RODO.
Z uwagi na możliwe ryzyko naruszenia praw lub wolności osób, których dane dotyczą administrator wprowadza następujące środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych.
Aby zapobiec ryzyku naruszenia prawa do przetwarzania danych osobowych w sposób zgodny z prawem administrator……………..
Aby zapobiec ryzyku naruszenia prawa do przetwarzania danych osobowych w sposób rzetelny administrator……………..
Aby zapobiec ryzyku naruszenia prawa do przetwarzania danych osobowych w sposób przejrzysty administrator……………..
Aby zapobiec ryzyku naruszenia prawa do przetwarzania danych osobowych w sposób zgodny z zasadą ograniczania celu administrator……………..
Aby zapobiec ryzyku naruszenia prawa do przetwarzania danych osobowych w sposób zgodny z zasadą minimalizacji administrator……………..
Aby zapobiec ryzyku naruszenia prawa do przetwarzania danych osobowych w sposób prawidłowy administrator……………..
Aby zapobiec ryzyku naruszenia prawa do przetwarzania danych osobowych w sposób zgodny z zasadą ograniczenia przechowywania administrator……………..
Aby zapobiec ryzyku naruszenia prawa do przetwarzania danych osobowych w sposób integralny administrator……………..
Aby zapobiec ryzyku naruszenia prawa do przetwarzania danych osobowych w sposób poufny administrator……………..
Aby zapobiec ryzyku naruszenia prawa do przetwarzania danych osobowych w sposób zgodny z zasadą rozliczalności administrator……………..
Ustalenia zostały dokonane po konsultacji z IOD
Konsultacja odbyła się dnia:……………..
Podpis IOD ………………………..
(jeśli inspektor ochrony danych funkcjonuje w danym podmiocie).
Na koniec trzeba jeszcze podkreślić, iż oprócz uchybienia polegającego na całkowitym braku dokumentu oceny skutków, do najczęściej popełnianych w praktyce błędów można zaliczyć:
- ocenianie zagrożeń technicznych i nieocenianie ryzyka naruszenia praw lub wolności osób fizycznych,
- dokonywanie oceny ryzyka w sensie czynności i niesporządzenie dokumentu umożliwiającego wykazanie wykonania tej oceny,
- dokonanie oceny skutków przez osobę nieupełnomocnioną do tego przez administratora,
- bardzo poważny błąd – mylenie oceny skutków planowanych operacji przetwarzania dla ochrony danych z oceną ryzyka (są to dwa odrębne obowiązki wymagające odrębnej dokumentacji!).
Podsumowanie
Dokumentacja obowiązków związanych z zasadami privacy by design i privacy by default, oceną ryzyka, środkami bezpieczeństwa oraz oceną skutków dla ochrony danych jest bardzo ważną częścią dokumentacji RODO. Mimo to, w związku z nieświadomością lub niewiedzą administratorów danych obowiązki te bardzo często nie są realizowane w wielu podmiotach, w innych z kolei są prowadzone wadliwie. Jest zatem ważne, aby przy tworzeniu obowiązkowych dokumentów korzystać nie tylko z przepisów samego rozporządzenia, które w wielu punktach opisane jest mało klarownie i zbyt szeroko (co rodzi wątpliwości interpretacyjne), a korzystać także ze wskazówek ekspertów mających doświadczenie w przygotowywaniu dokumentów z zakresu ochrony danych osobowych.
Źródło:
J. Rzymowski, RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora, Oficyna Wydawnicza „Impuls”, Kraków 2019.