Ekonomia, Prawo i podatki

Dokumentacja RODO – Część VII: Polityka ochrony danych osobowych i jej wdrożenie

Krzysztof Wiączek

Wprowadzenie

Niniejsze opracowanie poświęcone będzie kontynuacji tematyki wdrożenia w organizacji odpowiedniej dokumentacji RODO. Tym razem przedstawiona zostanie charakterystyka polityki ochrony danych osobowych – dokumentu stanowiącego niejako „konstytucję” całego systemu ochrony danych osobowych obowiązującego w danej firmie, z którą powinna być zgodna całość stosowanej przez administratora dokumentacji. Oprócz samej polityki ochrony danych osobowych omówione zostanie zagadnienie procedur postępowania, które to dokumenty często stanowią załączniki do samej polityki, a także dokument wdrożenia polityki, wymagany przez RODO.

Polityka ochrony danych osobowych

            Na wstępie należy zaznaczyć, że z przepisów RODO nie wynika bezwzględny obowiązek tworzenia dokumentu polityki ochrony danych osobowych. Zgodnie z art. 24 ust. 1 i 2 RODO:

„1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.”.

Jak więc można dostrzec, z treści niniejszego przepisu wynika, że to administrator samodzielnie powinien ocenić, czy charakter i zakres jego działalności powoduje, iż proporcjonalnym narzędziem służącym ochronie przetwarzania danych osobowych w jego organizacji będzie wdrożenie odpowiedniej polityki ochrony danych. Mimo, że jest to kwestia bardzo ocenna, ciężko wyobrazić sobie sytuację, w której dokument polityki ochrony danych osobowych byłby całkowicie zbędny, bowiem praktycznie każda organizacja stosuje pewne wewnętrzne procedury i zasady postępowania w zakresie ochrony danych osobowych (choć nie zawsze są one spisane w odrębnym dokumencie). Dlatego też nawet jeśli administrator dojdzie do wniosku, iż w jego podmiocie proporcjonalnymi działaniami w stosunku do czynności przetwarzania są środki techniczne i organizacyjne inne niż wdrożenie polityki ochrony danych, to i tak stworzenie takiego dokumentu a następnie wdrożenie go będzie działaniem bezpieczniejszym, nawet z punktu widzenia wykazania przez organem kontrolnym, iż zasady przeciwdziałania skutkom naruszenia danych osobowych w tym podmiocie są jednolite, obowiązują wszystkie osoby zatrudnione i opierają się o odpowiedni dokument, z którym każdy z zatrudnionych się zapoznał.

            Jak już zostało wspomniane na początku polityka RODO jest dokumentem nadrzędnym wobec całości dokumentacji stosowanej w całej firmie. Spina ona wszystkie procedury i zasady postępowania z danymi osobowymi, stanowiąc odniesienie dla pozostałych dokumentów. Może być ona sporządzona zarówno w formie dokumentu papierowego, jak i elektronicznego (w przypadku dokumentu papierowego zalecanym jest jego podpisanie przez administratora, zaś jeśli podpisuje go inna osoba, należy pamiętać o jej uprzednim umocowaniu). Jeśli natomiast chodzi o zawartość polityki ochrony danych osobowych, to do niezbędnych elementów, które warto zawrzeć w jej treści, można zaliczyć:

  • określenie pozycji polityki ochrony danych osobowych w ogólnym systemie regulacji wewnętrznych organizacji, podkreślenie jej nadrzędnego charakteru nad innymi regulacjami wewnętrznymi oraz wskazanie, że polityka RODO jest dokumentem ogólnym, którego doprecyzowanie znajduje się w poszczególnych procedurach RODO, jakie łącznie tworzą całość dokumentacji RODO w organizacji,
  • wskazanie podstawy prawnej dokumentu (przepisy RODO, zwłaszcza art. 24 ust. 2 w związku z art. 5 RODO oraz przepisy ustawy o ochronie danych osobowych),
  • określenie osób, które podlegają obowiązkowi przestrzegania polityki ochrony danych osobowych, a więc wskazanie, że polityka obowiązuje wszystkich, którzy w organizacji przetwarzają dane osobowe, niezależnie od formy współpracy z organizacją,
  • słownik pojęć, a więc definicje dotyczące obszaru RODO, jakie będą stosowane we wszystkich dokumentach występujących w podmiocie,
  • generalne zasady przetwarzania i ochrony danych osobowych w organizacji: zgodność przetwarzania danych osobowych z prawem (legalność), przestrzeganie zasady rozliczalności, realizację praw osób, których dane dotyczą, obowiązki w zakresie powierzenia przetwarzania danych osobowych, bezpieczeństwo danych osobowych, a także zakres stosowania polityki ochrony danych osobowych do wszystkich danych, jakie są przetwarzane w organizacji, a których organizacja jest administratorem lub podmiotem przetwarzającym,
  • obowiązek posiadania stosownego upoważnienia do przetwarzania danych osobowych w organizacji i złożenia zobowiązania do zachowania w tajemnicy,
  • wzór oświadczenia o zachowaniu w tajemnicy,
  • strukturę organizacyjną osób odpowiedzialnych za przestrzeganie RODO w organizacji: szefów organizacji, wyższej kadry kierowniczej, średniej kadry kierowniczej, wybranych działów (np. HR, IT, marketing i PR), wszystkich pracowników,
  • zakresy odpowiedzialności za realizację obowiązków RODO,
  • informację o powołaniu inspektora ochrony danych (IOD) lub specjalisty RODO (jeśli istnieje taka konieczność),
  • obowiązki szkoleniowe w zakresie RODO,
  • odpowiedzialność za naruszenie polityki i procedur RODO w organizacji.

Z przykładowym wzorem polityki ochrony danych osobowych można zapoznać Tutaj.

Procedury i ich treść

Polityka ochrony danych osobowych jest dokumentem bardzo ogólnym, dlatego dobrze byłoby aby dokumentacja RODO z niej wynikająca była grupowana w ramach konkretnych procedur odnoszących się do bezpieczeństwa przetwarzania danych w ramach konkretnych zbiorów czynności. Procedury te modelowo powinny stanowić załączniki do samej polityki ochrony danych, stanowiące odrębne dokumenty. Mogą one dotyczyć najróżniejszych aspektów funkcjonowania organizacji, zatem ustalenie listy procedur będzie miało charakter indywidualny w odniesieniu do konkretnego administratora. Przykładowo, administrator może utworzyć listę procedur w oparciu o poniższy katalog, dostosowując go oczywiście do tych czynności, które faktycznie występują w jego podmiocie:

  • Procedura ewidencjonowania urządzeń i nośników informacji,
  • Procedura korzystania z internetu,
  • Procedura korzystania z komputera służbowego,
  • Procedura korzystania z telefonu służbowego,
  • Procedura korzystania z poczty elektronicznej,
  • Procedura korzystania z urządzeń przenośnych,
  • Procedura postępowania z hasłami i plikami dostępowymi,
  • Procedura postępowania z incydentami bezpieczeństwa informacji,
  • Procedura postępowania z naruszeniami ochrony danych osobowych,
  • Procedura powierzenia przetwarzania danych osobowych,
  • Procedura przeglądów i konserwacji systemu informatycznego,
  • Procedura przetwarzania danych osobowych w formie papierowej,
  • Procedura przyjmowania danych osobowych w powierzenie,
  • Procedura realizacji obowiązku informacyjnego,
  • Procedura usuwania danych osobowych,
  • Procedura realizacji żądań podmiotu danych,
  • Procedura tworzenia kopii zapasowych,
  • Procedura udostępniania danych osobowych,
  • Procedura dostępu do kluczy i obiektów,
  • Procedura usuwania urządzeń i nośników informacji,
  • Procedura kontroli dostępu do systemu informatycznego,
  • Procedura zabezpieczenia antywirusowego,
  • Procedura oznaczania pomieszczeń i terenu monitorowanego,
  • Procedura przechowywania nagrań z monitoringu wizyjnego.

            Każda z procedur stosowanych w firmie (ich liczba będzie oczywiście się różnić) powinna przede wszystkim określać obowiązki osób obowiązanych do jej stosowania. Przykładowo, procedura korzystania z internetu, powinna nakładać na użytkowników obowiązki w zakresie bezpieczeństwa pracy w sieci (korzystanie z internetu wyłącznie w celu wykonywania obowiązków służbowych, zakaz włączania opcji autouzupełniania formularzy i zapamiętywania haseł, uruchamiania plików pobranych z pominięciem skanowania przez program antywirusowy, przesyłania danych osobowych przy użyciu nieszyfrowanych stron internetowych czy przeglądania treści o charakterze przestępczym, hakerskim lub innym zakazanym przez prawo). Poszczególne procedury mogą też mieć formę odrębnych regulaminów, z przykładem takiego regulaminu w zakresie korzystania z poczty elektronicznej można zapoznać się Tutaj.

            Istotnym jest, by z procedurą zapoznały się wszystkie osoby obowiązane do jej stosowania. W celu wykazania realizacji obowiązku zapoznania osób zatrudnionych ze stosowanymi procedurami najprostszymi rozwiązaniem wydaje się przedłożenie pracownikom wzoru oświadczenia o zapoznaniu się z polityką ochrony danych osobowych oraz jej załącznikami (które stanowią przyjęte w organizacji procedury) i zobowiązanie ich do podpisania tego oświadczenia przed przystąpieniem do czynności polegających na przetwarzaniu danych osobowych. Dobrą praktyką będzie również udostępnienie papierowej wersji polityki RODO wraz z załącznikami do wglądu w siedzibie firmy, tak aby pracownicy mogli z niej korzystać w razie potrzeby, bądź też przesłanie im na służbowe adresy e-mail elektronicznych wersji polityki i pozostałych dokumentów RODO stosowanych w podmiocie.

Dokument wdrożenia polityki ochrony danych osobowych

            Dodatkowym dokumentem którego obowiązek wdrożenia wynika również z przepisu art. 24 ust. 2 RODO jest związany z wykazaniem przyjęcia w danej organizacji polityki ochrony danych osobowych. Dokument wdrożenia polityki danych osobowych jest dokumentem potwierdzającym umocowanie prawne danej polityki wewnątrz firmy oraz wskazuje datę jej wdrożenia (co ma istotne znaczenie w sytuacji zmiany polityki, bądź uchylenia dotychczas obowiązującej i przyjęcia nowej, dostosowanej do bieżącej działalności administratora w zakresie przetwarzania danych osobowych).

            Sama treść tego dokumentu nie jest wprost opisana w przepisach RODO. Sam fakt obowiązku jego wytworzenia jest krytykowany w doktrynie prawa (J. Rzymowski określa go wręcz jako niepotrzebny i służący jedynie do zabezpieczenia się administratora na wypadek kontroli Prezesa Urzędu Ochrony Danych Osobowych). Dlatego też mając na względzie przede wszystkim art. 32 ust. 1 RODO, stanowiący, iż „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”, ważnym jest by dokument był odpowiednio zatytułowany, określał podstawę prawną, z której wynika wdrożenie polityki ochrony danych osobowych, określał samą politykę, a przede wszystkim datę jej przyjęcia i wdrożenia w organizacji, a także datę i podpis administratora lub osoby przez niego upoważnionej).

            Biorąc pod uwagę powyższe, dokument ten może wyglądać w sposób następujący:

Dokument wdrożenia polityki ochrony danych osobowych w (nazwa administratora – organizacji)

Kierujący Administratorem danych osobowych (tu podajemy  imię i nazwisko osoby kierującej administratorem danych osobowych) wdraża, zgodnie z art. 24 ust. 2 RODO w związku z art. 5 ust. 2 RODO Politykę ochrony danych osobowych z dnia…….

Wdrożenie Polityki ochrony danych osobowych ma miejsce dnia ………………….

Data……………….

Podpis osoby kierującej administratorem danych osobowych

Na koniec warto zaznaczyć, iż błędami stanowiącymi naruszenie przepisów RODO są:

  • brak dokumentu wdrożenia polityki ochrony danych osobowych (chyba, że jej wdrożenie ujmowane jest w innym dokumencie wdrożeniowym)
  • szerszy lub węższy zakres wdrożenia w dokumencie niż środki opisane w polityce ochrony danych osobowych
  • podpisanie dokumentu przez osobę nieuprawnioną (pracownika administratora danych osobowych nieposiadającego stosownego upoważnienia).

Podsumowanie

            Polityka ochrony danych osobowych jest dokumentem scalającycym całą dokumentację RODO w firmie i w większości przypadków będzie dokumentem obowiązkowym. Nawet jednak gdy administrator dojdzie do przekonania, iż w jego przypadku na ma obowiązku stosowania tego dokumentu, mimo wszystko warto rozważyć jego wprowadzenie. Po pierwsze stanowi ono solidne zabezpieczenie na wypadek kontroli PUODO, po drugie zaś pozwala na wewnętrzną systematyzację posiadanych dokumentów, co na pewno ułatwi przetwarzanie danych osobowych zgodnie z prawem. Uzupełnieniem polityki ochrony danych osobowych są załączniki – procedury postępowania przy wykonywaniu poszczególnych rodzajów czynności w ramach pracy. Określają one w sposób szczegółowy obowiązki konkretnych osób, stanowiąc swoiste instrukcje postępowania, a tym samym ułatwiając pracownikom postępowanie zgodne z przyjętymi w firmie zasadami. Pracodawca, jako administrator danych osobowych musi jednak zadbać o to, by polityka ochrony danych i związane z nią procedury nie tylko były w organizacji formalnie wdrożone, ale by pracownicy faktycznie się z nimi zapoznali, a w razie potrzeby mogli z nich skorzystać, aby sprawdzić, czy ich działanie będzie prawidłowe.

Źródła:

J. Rzymowski, RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora, Oficyna Wydawnicza „Impuls”, Kraków 2019.

A. Sagan-Jeżowska, Ochrona danych osobowych w małej i średniej firmie. Kontrola poprawności wdrożenia RODO. Metodyka, procedury, wzory, Wyd. C.H. Beck, Warszawa 2018.

S. Czub.-Kiełczewska, Regulamin korzystania z poczty elektronicznej – wzór, SIP LEX 2020.