RODO, czyli unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane także Rozporządzeniem 2016/679, zawiera kluczowe przepisy, które chronią prawa osób, których dane dotyczą oraz umożliwiają swobodny przepływ danych osobowych. Są to dwie kwestie, które dla zdecydowanej większości przedsiębiorstw są, jeśli nie kluczowe, to istotne w prowadzonej działalności. Firma, która rozpoczyna funkcjonowanie, musi sporządzić odpowiednią dokumentację, a następnie stosownie uzupełniać ją zgodnie z wymogami ww. aktu prawnego oraz innych powiązanych przepisów prawnych lub wytycznych odpowiednich organów. Im większa ilość danych osobowych jest przetwarzana, im większa liczba zatrudnianych pracowników lub obecność w działalności transferów danych do krajów trzecich, tym większe są wymogi w zakresie wymaganych dokumentów. Istnieje możliwość, aby przedsiębiorca samodzielnie przygotował całą niezbędną dokumentację, jednak opcja skorzystania z wykwalifikowanych specjalistów w zakresie RODO może zaoszczędzić mu sporo czasu i zapewnić prawidłowość zastosowanych rozwiązań.
Jakie zatem dokumenty RODO powinna posiadać firma, aby odpowiednio zabezpieczyć przetwarzane dane osobowe zgodnie z wymogami RODO?
Kluczową informacją dla każdego przedsiębiorcy jest konieczność wdrożenia dokumentacji RODO tak, aby obowiązywało od pierwszego dnia prowadzenia firmy. Dlatego każdy administrator ma obowiązek wprowadzić w życie oraz stosować wymagane przez RODO dokumenty. Przykładowo przedsiębiorstwo, które nie wdroży rejestru czynności przetwarzania lub nie zadba o stosowne umowy powierzenia danych z kontrahentami, będzie działało niezgodnie z przepisami prawa. Czy zatem każda firma musi się o to martwić zanim wystartuje ze swoją działalnością? Odpowiedź jest tutaj bardzo prosta – przepisy RODO obowiązują każdą firmę, o ile przetwarza ona w jakikolwiek sposób dane osobowe. W praktyce dotyczy to właściwie każdej istniejącej firmy, gdyż trudno wyobrazić sobie, aby istniała działalność, jaka nie przetwarzałaby w ogóle danych osobowych. Nie ma tu znaczenia czy to działalność jednoosobowa, czy przedsiębiorstwo zatrudniające setki pracowników – każdy przedsiębiorca powinien przeanalizować, jaki będzie zakres jego obowiązków wynikających z zasad RODO i jakie dokumenty powinien w związku z tym przyjąć w swojej firmie. Pomocne w tym zakresie mogą okazać się ogólnodostępne wytyczne, przygotowane przez Europejską Radę Ochrony Danych Osobowych (EROD). EROD przygotowała m.in. Poradnik RODO dla małych firm, gdzie przedsiębiorcy mogą znaleźć podstawowe informacje na temat ochrony danych osobowych oraz swoich obowiązków w zakresie zapewnienia zgodności z przepisami[1].
Tak jak już to zaznaczyłem, liczba wymaganych dokumentów, a przede wszystkim ich zawartość, jest zależna od zakresu przetwarzanych danych osobowych, a także od wielkości samej firmy. Trudno więc zamknąć listę w jednej konkretnej formie. Z pewnością jednak do najważniejszych dokumentów RODO, jakie są wymagane od przedsiębiorcy, należą:
Dokładny okres przechowywania dokumentów ochrony danych osobowych nie jest wyznaczony przez RODO, co nie oznacza, że nie ma w tekście rozporządzenia stosownego odniesienia do tego tematu. Art. 5 mówi wyraźnie, że przechowywanie w formie umożliwiającej identyfikację osoby, której dane dotyczą, powinno odbywać się przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (lit. e). Decyzja leży tu po stronie administratora, gdyż to on odpowiada za przechowywane dane osobowe. Musi on brać tu pod uwagę między innymi obowiązek rozliczalności, a zarazem minimalizacji danych. Poza tym administrator, ustalając okresy retencji, powinien uwzględniać odpowiednie krajowe przepisy jak np. Kodeks pracy. Jedno jest pewne – nie może przechowywać nieskończenie długo danych osobowych, o ile nie ma do tego ważnej podstawy prawnej, np. nie upoważnia go do tego przepis prawa. Przetwarzanie danych osobowych bez ważnej podstawy prawnej będzie stanowiło naruszenie ochrony danych osobowych, za które administrator ponosi odpowiedzialność przed UODO.
Dane osobowe, które są przetwarzane w ramach działalności firmy powinny zostać usunięte lub poddane anonimizacji w chwili zakończenia ustalonego okresu retencji. Należy przy tym pamiętać, że obowiązkiem administratora jest poinformowanie osób, których dane przetwarza o okresie przetwarzania i przechowywania danych oraz o celach i podstawach przetwarzania, a także ich podstawowych prawach, jak np. prawie do usunięcia danych czy o dostępnie do danych (art. 13 RODO).
Sama dokumentacja RODO może mieć formę zarówno elektroniczną, jak i papierową. Zazwyczaj administratorzy jedynie niezbędną część dokumentacji sporządzają w formie pisemnej, natomiast w przeważającym zakresie, tam, gdzie jest to możliwe, dokumentację prowadzi się w formie elektronicznej. Przykładowo, o wiele bardziej praktyczne jest prowadzenie rejestrów czynności przetwarzania oraz kategorii czynności przetwarzania w formie elektronicznej, co pozwala na łatwe uaktualnianie tych dokumentów zawsze wtedy, gdy zaistnieje taka potrzeba.
Głównym wyznacznikiem w zakresie wdrożenia odpowiedniej dokumentacji RODO jest art. 5 Rozporządzenia, który stanowi jeden z najważniejszych przepisów w całym rozporządzeniu. Za pierwszą wytyczną w zakresie ochrony danych osobowych w firmie należy uznać zasady minimalizacji danych (lit. c), ograniczenia celu (lit. b), ograniczenia przechowywania (lit. e). Mówiąc najprościej, im mniej danych przetwarzamy, ograniczając się do tego, co jest faktycznie niezbędne w osiągnięciu celu oraz im mniej osób będzie miało dostęp do tych danych, tym mniejsza szansa, że dojdzie do incydentu naruszenia bezpieczeństwa danych osobowych.
Wdrażając dokumentację RODO administrator powinien także mieć na uwadze inne zasady, przewidziane w art. 5 RODO, tj. w szczególności zasadę zgodności z prawem, rzetelności i przejrzystości (lit. a), zasadę prawidłowości danych osobowych (lit. d), integralności i poufności (lit. f).
Poza przyjęciem odpowiedniej dokumentacji, do obowiązków administratora należy także wdrożenie stosownych technicznych środków, aby przetwarzanie danych osobowych odbywało się w sposób bezpieczny i zgodnie z aktualną wiedzą techniczną. Do takich środków technicznych w kontekście przechowywania danych będą zaliczać się np. odpowiednie drzwi zabezpieczające, sejf szyfrowany (w wypadku przechowywania dokumentów w formie papierowej) czy stosowne zabezpieczenia typu firewall, oprogramowanie antywirusowe, które należy regularnie aktualizować (w razie przechowywania w sposób cyfrowy, np. w chmurze).
Do odpowiednich środków technicznych zaliczyć można szyfrowanie, pseudonomizację, czy wszelkie zabezpieczenia technologiczne w obszarze IT, których stosowny dobór będzie mieć kluczowe znaczenie dla bezpieczeństwa danych. Należy jednocześnie podkreślić, że zgodnie z RODO nie ma zamkniętego katalogu środków technicznych, do których administrator powinien się stosować. Zamiast tego, RODO nakazuje administratorowi dokonywanie stosownej oceny w celu ustalenia, czy określone środki techniczne będą w danym przypadku wystarczającego, z uwzględnieniem aktualnej wiedzy technicznej.
Administrator ma obowiązek zadbania o przyjęcie środków organizacyjnych, co oznacza nie tylko wdrożenie i stosowanie odpowiednich procedur i polityk, ale także prowadzenie regularnych szkoleń pracowników oraz odpowiedniego zarządzania kadrą pracowniczą – ograniczeniu dostępu do danych tylko do osób upoważnionych oraz na zasadzie udzielania dostępu tylko w niezbędnym zakresie. Bardzo istotne jest także dokonywanie regularnych przeglądów zakresu udzielonych dostępów.
W wypadku wszelkich wątpliwości przedsiębiorcy dotyczących bezpieczeństwa przechowywanych danych powinno się przeprowadzić audyt bezpieczeństwa RODO – samodzielnie lub we współpracy z wykwalifikowaną kancelarią prawną.
Z uwagi na zasadę rozliczalności wszelkie działania, które są podejmowane przez przedsiębiorcę w ww. zakresie powinny być odpowiednie dokumentowane w taki sposób, aby przedsiębiorca był w stanie udowodnić, jakie działania prowadził w zakresie ochrony danych osobowych.
W razie wystąpienia naruszenia ochrony danych osobowych, w przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator ma w obowiązku w ciągu 72 godzin zgłosić incydent do organu nadzorczego (PUODO) oraz bez zbędnej włoki zawiadomić o tym osoby, których dane dotyczą. Gdyby po 72 godzinach od potwierdzenia naruszenia administrator nie zawiadomił PUODO, musiałby on uzasadnić i udokumentować opóźnienie.
Administrator w zawiadomieniu musi zawrzeć:
Ponadto administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, okoliczności ich naruszenia, ich skutki, a także podjęte działania zaradcze. Czyni to poniekąd we własnym interesie, gdyż pomoże to w weryfikacji przestrzegania przepisów przez administratora. W zależności od wagi naruszenia administrator może być także zobowiązany do wystosowania odpowiednich zawiadomień o naruszeniu do podmiotów, których dane były przedmiotem naruszenia.
Ocena konieczności złożenia zawiadomienia do PUODO, a także zawiadomienia osób, których dane dotyczą, wymaga odpowiedniego oszacowania ryzyka, jakie wiąże się z danym naruszeniem. Z tego względu ważne jest, aby ustalić z wyprzedzeniem, w jaki sposób administrator będzie dokonywał tych czynności w przypadku wystąpienia incydentu związanego z ochroną danych osobowych. Z tego względu jest istotne, aby ww. procedura została szczegółowo zapisana w wewnętrznych dokumentach przedsiębiorcy w taki sposób, aby nie było wątpliwości, jak należy podstępować w przypadku wystąpienia naruszenia ochrony danych osobowych w firmie. Każdy pracownik i współpracownik powinien znać i potrafić zastosować ten sposób postępowania.
Kary za naruszenie RODO, w zależności od rodzaju naruszenia, wynoszą 2% lub 4% całkowitego światowego rocznego obrotu firmy z roku poprzedzającego lub też 10 mln lub 20 mln euro. Firmę może spotkać kara pieniężna przykładowo w następujących przypadkach.:
Organ nadzorczy bierze pod uwagę okoliczności każdego indywidualnego wypadku, jak waga i czas naruszenia, czy był to skutek przypadkowego zaniedbania, czy też umyślny czyn, czy administrator podjął samodzielne działania naprawcze, czy też może usiłował zatuszować, ukrywać swój błąd.
Koszty zaniedbania ochrony danych osobowych mogą być bardzo wysokie nie tylko dla osób, których dane dotyczą, ale również dla samej firmy. Dlatego warto pomyśleć już na starcie, zanim do czegokolwiek dojdzie, o skorzystaniu z pomocy doświadczonej Kancelarii prawnej lub po prostu powołaniu we własnym przedsiębiorstwie Inspektora ochrony danych, który stanowi wartościową pomoc i wsparcie dla każdego administratora.
[1] Poradnik dostępny tutaj: https://www.edpb.europa.eu/sme-data-protection-guide/home_en
