RODO (w przeciwieństwie do poprzednio obowiązujących przepisów) nie wprowadza wprost obowiązku posiadania określonego rodzaju dokumentacji dotyczącej ochrony danych osobowych. Kluczowe znaczenie ma natomiast obowiązek wykazania przez administratora danych rozliczalności (tj. wykazania, że przepisy RODO są przez niego faktycznie przestrzegane).
Przed 25 maja 2018 roku obowiązywało w Polsce rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rozporządzenie to wprowadzało obowiązek posiadania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, na którą składały się:
- polityka bezpieczeństwa;
- instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Obowiązujące obecnie przepisy RODO są w tym zakresie zdecydowanie bardziej elastyczne, co nie oznacza, że podmioty, które przetwarzają dane osobowe w ramach prowadzonej działalności, powinny zrezygnować z posiadania tego typu dokumentacji.
Polityka ochrony danych osobowych – czy jest obowiązkowa?
Teoretycznie rzecz biorąc, przepisy o ochronie danych osobowych, nie wprowadzają obowiązku posiadania takiego dokumentu jak polityka bezpieczeństwa/polityka ochrony danych osobowych. W praktyce jednak, posiadanie takiego dokumentu wydaje się niezbędne w przypadku większości organizacji. Trudno bowiem wyobrazić sobie bez niego prawidłową realizację wymogów wynikających z RODO.
Należy także pamiętać o treści art. 24 ust. 1-2 RODO, z którego wynika, że:
- uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane;
- jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
Każdy podmiot charakteryzuje się oczywiście własną strukturą organizacyjną oraz własnym „zestawem” dokumentacji wewnętrznej, której ilość oraz poziom szczegółowości uzależnione są od wielu czynników, takich jak rodzaj czy skala prowadzonej działalności (w tym ilość personelu oraz procesów biznesowych), czy obowiązujące daną organizację regulacje prawne, które w istotny sposób wpływają na kształt stosowanej dokumentacji.
Niezależnie od powyższego wydaje się jednak, że z takiego dokumentu jak polityka ochrony danych osobowych w praktyce mogą zrezygnować jedynie niewielkie podmioty (np. jednoosobowi przedsiębiorcy, którzy nie zatrudniają żadnych pracowników). Większość organizacji, które przetwarzają dane osobowe w ramach prowadzonej działalności, powinna natomiast tego typu dokument posiadać, przy czym powinien on uwzględniać potrzeby oraz możliwości danej organizacji (w tym m.in. skalę prowadzonej działalności oraz złożoność struktury organizacyjnej).
Warto przy tym zaznaczyć, że nazwa takiego dokumentu może być różna w zależności od danej organizacji (często spotykane nazwy to m.in.: Polityka ochrony danych osobowych, Polityka bezpieczeństwa danych osobowych, Polityka przetwarzania danych osobowych, Polityka bezpieczeństwa itp.). Nazwa tego rodzaju dokumentu pozostaje jednak kwestią drugorzędną – najważniejsza jest jego zawartość oraz stosowanie się do określonych w nim zasad w ramach danej organizacji.
Polityka ochrony danych osobowych – co powinna zawierać?
W poprzednim stanie prawnym (tj. przed rozpoczęciem stosowania RODO) przepisy wyraźnie określały elementy, które powinna zawierać polityka bezpieczeństwa.
Obejmowały one:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
- sposób przepływu danych pomiędzy poszczególnymi systemami;
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
W związku ze zmianą stanu prawnego po 25 maja 2018 roku powyższy wykaz może mieć wyłącznie charakter pomocniczy i nie powinno się go sztywno trzymać. Należy zwrócić w szczególności uwagę na to, że niektóre elementy, które uwzględniały specyfikę poprzedniego stanu prawnego, w ogóle mogą zostać pominięte (np. w związku z aktualnym obowiązkiem dotyczącym prowadzenia rejestru czynności przetwarzania bezcelowe jest wprowadzanie do polityki ochrony danych osobowych wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych).
Z drugiej strony można także zauważyć, że przewidziane w poprzednim stanie prawnym obligatoryjne elementy polityki bezpieczeństwa nie uwzględniały wielu postanowień, które zazwyczaj znajdują się w tego typu dokumentach (w praktyce i tak były one tam często zamieszczane). Ponadto wymienione wyżej elementy odnoszą się w wielu przypadkach do dosyć szczegółowych kwestii, które nie muszą być obecnie uregulowane bezpośrednio w takim dokumencie jak polityka ochrony danych osobowych czy bezpieczeństwa (np. elementy dotyczące szczegółowego wykazu budynków czy pomieszczeń stanowiących obszar przetwarzania danych osobowych, czy opisów związanych z przepływami danych osobowych pomiędzy systemami służącymi do przetwarzania danych osobowych).
Na marginesie można nadmienić, że w praktyce bardzo dużo trudności praktycznych w przeszłości było związanych z realizacją wymogu polegającego na uwzględnieniu w polityce bezpieczeństwa opisu struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. Obecnie taki element nie musi znajdować się w dokumentacji dotyczącej przetwarzania danych osobowych.
Niewątpliwie w ramach tego rodzaju dokumentu jak polityka ochrony danych osobowych warto uwzględnić takie elementy jak:
- Wprowadzenie (w tym cele i zakres polityki, definicje kluczowych terminów i pojęć takich jak m.in. dane osobowe, przetwarzanie danych osobowych, administrator, podmiot przetwarzający, etc.).
- Podstawy prawne (odwołanie się do obowiązujących przepisów prawa, w tym RODO, ustawy o ochronie danych osobowych oraz regulacji sektorowych lub wytycznych, które obowiązują dany podmiot).
- Podstawowe zasady przetwarzania danych osobowych (w tym dotyczące zbierania, wykorzystywania oraz usuwania danych osobowych z uwzględnieniem zasad wynikających z art. 5 RODO).
- Role i obowiązki oraz odpowiedzialność poszczególnych osób za ochronę danych osobowych (w tym ustalenie zasad audytowania organizacji przez wyznaczone do tego osoby, a także zasad wyznaczania inspektora ochrony danych oraz określenie jego pozycji w ramach organizacji).
- Realizacja obowiązków związanych z przetwarzaniem danych osobowych wewnątrz organizacji, które obejmują w szczególności:
- uwzględnienie zasad privacy by design i privacy by default przy projektowaniu lub modyfikowaniu procesów przetwarzania danych osobowych;
- analizę ryzyka i jej okresową aktualizację (w tym tworzenie raportów z przeprowadzenia ogólnej analizy ryzyka);
- ocenę skutków dla ochrony danych i jej przeglądy;
- zasady postępowania w przypadku podejrzenia naruszeń ochrony danych osobowych z uwzględnieniem obowiązków zgłaszania naruszeń do organu nadzorczego oraz informowania o naruszeniach osób, których dane dotyczą;
- prowadzenie rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania;
- realizację praw osób, których dane dotyczą.
- Zasady przekazywania danych na zewnątrz organizacji (w tym zasady udostępniania danych, powierzania danych do przetwarzania oraz ich przekazywania do państw trzecich).
- Ogólny opis środków technicznych i organizacyjnych służących ochronie danych osobowych (środki zapewniające poufność, integralność dostępność i rozliczalność przetwarzanych danych osobowych oraz podstawowe zasady bezpieczeństwa obowiązujące przy przetwarzaniu danych osobowych).
- Zasady dotyczące szkoleń pracowników oraz podnoszenia ich świadomości w obszarze ochrony danych osobowych (w tym zapoznawania się z przepisami o ochronie danych osobowych oraz regulacjami obowiązującymi w danej organizacji).
- Postanowienia końcowe (w tym zasady dotyczące okresowego przeglądu i aktualizacji polityki).
- Załączniki oraz dokumenty powiązane.
Należy przy tym pamiętać, że Polityka ochrony danych osobowych powinna być dokumentem „żywym”, który jest poddawany przeglądom i w razie potrzeby aktualizowany z uwzględnieniem zmieniających się przepisów prawa, technologii, oraz potrzeb biznesowych danej organizacji. Podane wyżej elementy mają tym samym wyłącznie charakter przykładowy, nie powinny być zatem traktowane jako katalog zamknięty. Każda organizacja przy tworzeniu polityki ochrony danych osobowych powinna uwzględnić własne uwarunkowania biznesowe i prawne oraz potrzeby i możliwości w zakresie zapewnienia optymalnego poziomu ochrony danych osobowych.
Polityka ochrony danych osobowych a procedury związane z ochroną danych osobowych
Niektóre organizacje mają problemy z odróżnianiem polityk od procedur dotyczących ochrony danych osobowych. Warto pamiętać, że rola tego typu dokumentów jest nieco inna. Obydwa rodzaje dokumentów (polityki i procedury) stanowią niewątpliwie użyteczne narzędzia, które mają na celu utrzymanie pewnego ładu oraz zapewnienie przestrzegania zasad i norm obowiązujących w danej organizacji. Dokumenty te powinny być spójne i powiązane ze sobą, jednak w praktyce zazwyczaj różnią się one zarówno celem ich wprowadzenia, jak i treścią.
Polityka jest dokumentem, który zawiera zazwyczaj ogólne wytyczne oraz zasady definiujące kierunek działania danej organizacji. W związku z tym polityka ma z reguły bardziej ogólny i opisowy charakter, skupiając się na obowiązujących organizację standardach i wartościach oraz celach, które mają być osiągnięte.
Procedura jest natomiast dokumentem, który powinien mieć co do zasady, charakter szczegółowy skupiając się na opisie konkretnych kroków oraz działań, które mają być podjęte w danej sytuacji. W tym sensie procedura nie powinna mieć charakteru ogólnego, tylko stanowić pewnego rodzaju instrukcję postępowania, która precyzyjnie wskaże krok po kroku jak zachować się w danej sytuacji (np. w razie wystąpienia naruszenia ochrony danych osobowych).
Czytaj także: Dlaczego należy wprowadzić procedurę reagowania na incydenty dotyczące ochrony danych osobowych?
W pewnym uproszczeniu można wskazać na następujące kryteria odróżniające polityki od procedur:
Kryterium odróżniające | Polityka | Procedura |
---|---|---|
Cel dokumentu | Określenie ogólnych wytycznych i zasad działania | Wskazanie szczegółowych kroków i działań w konkretnej sytuacji |
Zakres dokumentu | Szeroki, opisowy i ogólny | Wąski i szczegółowy |
Skupienie uwagi dokumentu | Uwaga dokumentu skupiona jest na wartościach i celach danej organizacji | Uwaga dokumentu skupiona jest na konkretnych działaniach i wykonaniu określonych zadań |
Częstotliwość zmian | Rzadkie zmiany (np. w razie zmiany przepisów prawa) | Zmiany mogą być częste (w zależności od bieżących potrzeb organizacji) |
W związku z powyższym można przyjąć, że wraz z polityką ochrony danych osobowych powinny zostać zazwyczaj opracowane stosowne procedury regulujące w możliwie precyzyjny sposób postępowanie w określonych przypadkach, takie jak np.:
- Procedura przeprowadzania analizy ryzyka;
- Procedura przeprowadzania oceny skutków dla ochrony danych;
- Procedura postępowania w przypadku wystąpienia naruszenia ochrony danych;
- Procedura nadawania/odbierania upoważnień do przetwarzania danych osobowych;
- Procedura dotycząca powierzania przetwarzania danych osobowych;
- Procedura dotycząca przeprowadzania tzw. testu równowagi w ramach wyważenia prawnie uzasadnionych interesów administratora danych lub strony trzeciej względem podstawowych praw i wolności podmiotu danych.
- Procedura dotycząca obsługi żądań podmiotów danych
Niewątpliwie zarówno polityki, jak i procedury stanowią istotne dokumenty, które są bardzo pomocne w kontekście wdrażania i stosowania przepisów RODO. Warto odróżniać te dokumenty, ponieważ ich odpowiednie i staranne przygotowanie z pewnością pomoże w zapewnieniu zgodności obowiązującymi przepisami o ochronie danych osobowych oraz we właściwym zarządzeniu daną organizacją.
Na marginesie można zauważyć, że przypadku niektórych organizacji (zwłaszcza tych mniejszych) zdarza się także, że polityka ochrony danych osobowych staje się na tyle „pojemnym” dokumentem, że zawiera ona także procedury postępowania w określonych sytuacjach (np. procedury nadawania upoważnień do przetwarzania danych osobowych, procedury postępowania w przypadku wystąpienia naruszenia i inne), przez co skutecznie zastępuje ona tego rodzaju dokumenty. Takie rozwiązania także mogą być z powodzeniem stosowane w przypadku niektórych organizacji, warto jednak zawsze ocenić, czy w konkretnym przypadku będą one optymalne, a wdrożone dokumenty prawidłowo spełnią swoje funkcje.
Korzyści ze wprowadzenia polityki ochrony danych osobowych
Wprowadzenie Polityki ochrony danych osobowych przynosi wiele korzyści dla organizacji. Wśród najważniejszych korzyści można wymienić:
- Zwiększenie poziomu zgodności z przepisami prawa (pomimo tego, że RODO nie wprowadza wprost obowiązku posiadania takiego dokumentu, to w praktyce trudno sobie wyobrazić zapewnienie odpowiedniego poziomu zgodności z przepisami bez niego, zwłaszcza w przypadku większych organizacji);
- Zwiększenie poziomu zaufania ze strony klientów i kontrahentów (zarówno klienci, jak i kontrahenci pozytywnie odbierają stosowanie polityk ochrony danych osobowych. Poza tym w wielu przypadkach partnerzy biznesowi oczekują od organizacji wysokich standardów ochrony danych osobowych, w tym posiadania tego typu dokumentacji, co może mieć kluczowe znaczenie przy nawiązywaniu współpracy);
- Zmniejszenie ryzyka naruszeń przepisów o ochronie danych osobowych (wprowadzenie dokumentacji przetwarzania danych osobowych, w tym zwłaszcza polityki ochrony danych osobowych sprzyja poszanowaniu przepisów o ochronie danych osobowych przez organizację, co w praktyce przekłada się na niższe ryzyko naruszenia obowiązujących w tym zakresie przepisów);
- Zmniejszenie ryzyka występowania naruszeń ochrony danych (naruszenia ochrony danych mogą wystąpić w każdej organizacji, jednak wprowadzenie właściwej polityki ochrony danych osobowych zmniejsza ryzyko występowania takich naruszeń);
- Większa ochrona przed stratami finansowymi i wizerunkowymi (wprowadzenie polityki ochrony danych osobowych sprzyja skutecznej ochronie danych osobowych, co przy jednoczesnym budowaniu zaufania ze strony klientów, kontrahentów oraz pracowników pozytywnie wpływa na reputację organizacji oraz pomaga chronić organizację przed kosztami związanymi z potencjalnymi odszkodowaniami, czy administracyjnymi karami pieniężnymi związanymi z naruszeniem przepisów o ochronie danych osobowych);
- Zwiększenie efektywności operacyjnej (wprowadzenie jasnych standardów i zasad w ramach polityki ochrony danych osobowych powinno usprawnić procesy związane z przetwarzaniem danych osobowych oraz zarządzeniem danymi);
- Podnoszenie świadomości po stronie personelu (wprowadzenie polityki ochrony danych osobowych sprzyja podniesieniu świadomości personelu zwłaszcza w przypadku określenia przy tej okazji zasad bezpiecznego przetwarzania danych osobowych w organizacji).
Brak polityki ochrony danych osobowych — konsekwencje
Brak polityki ochrony danych osobowych może skutkować wieloma negatywnymi konsekwencjami. Najpoważniejsze w nich jakie można wskazać to:
- Narażenie się na zarzut niezgodności z przepisami prawa (RODO nie wprowadza wprawdzie wprost obowiązku posiadania takiego dokumentu jak polityka ochrony danych osobowych, jednak jego brak może prowadzić do niezgodności m.in. z art. 24 ust. 2 RODO, a także sprzyjać naruszeniu poszczególnych obowiązków wynikających z przepisów RODO, np. dotyczących realizacji praw osób, których dane dotyczą)
- Większe ryzyko utraty klientów lub kontrahentów (brak odpowiedniej polityki ochrony danych osobowych może wpływać m.in. na utratę zaufania klientów i kontrahentów co negatywnie wpływa na reputację organizacji, a w skrajnych przypadkach może prowadzić do rezygnacji z usług przez klientów danej organizacji lub do zakończenia współpracy przez partnerów biznesowych);
- Zwiększenie ryzyka naruszeń ochrony danych (brak odpowiedniej dokumentacji przetwarzania danych, w tym polityki ochrony danych może zwiększać zagrożenia, zarówno wewnętrzne – takie jak kradzież danych przez pracowników, bądź zewnętrzne – takie jak nieautoryzowany dostęp do danych osobowych);
- Zwiększone ryzyko strat finansowych (w tym administracyjnych kar pieniężnych) oraz innych sankcji prawnych (brak polityki ochrony danych nie tylko zwiększa ryzyko naruszenia przepisów prawa skutkujących możliwością nałożenia administracyjnych kar pieniężnych bądź skorzystania przez organ nadzorczy z uprawnień naprawczych, ale również zwiększa ryzyko pojawienia się roszczeń cywilnoprawnych ze strony podmiotów danych. Poza tym istotne koszty w przypadku naruszeń ochrony danych mogą wiązać się m.in. z naprawą systemów informatycznych, odzyskiwaniem danych, czy powiadamianiem osób, których dane dotyczą w razie wystąpieniu naruszenia);
- Ograniczenia działalności i słaba efektywność operacyjna (organizacje, które współpracują z podmiotami wymagającymi wysokich standardów ochrony danych osobowych, mogą napotkać na bariery handlowe lub prawne we współpracy z takimi podmiotami, jak również na problemy z przejściem audytów dotyczących bezpieczeństwa i zgodności. Poza tym brak uporządkowania zasad przetwarzania danych osobowych może zwiększać chaos organizacyjny).
Polityka ochrony danych osobowych – podsumowanie
Każda organizacja, która przetwarza dane osobowe w związku z prowadzoną działalnością, powinna rozważyć potrzebę wprowadzenia polityki ochrony danych osobowych. W większości przypadków wprowadzenie tego rodzaju dokumentu będzie zalecane, pomimo tego, że przepisy RODO nie przewidują wprost takiego obowiązku.
Warto zapewnić, aby tego typu dokument został opracowany i wprowadzony w sposób przemyślany i staranny tak, aby zapewnić, jak największe korzyści z jego stosowania w ramach danej organizacji. W związku z tym lepiej unikać stosowania „szablonowych” rozwiązań bez ich wcześniejszego dostosowania do potrzeb i możliwości danej organizacji.
Jeśli jesteś zainteresowany wsparciem prawnym przy tworzeniu lub aktualizacji polityki ochrony danych osobowych lub innych dokumentów wewnętrznych związanych z ochroną danych osobowych w Twojej organizacji zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą bieżącego wsparcia w obszarze ochrony danych osobowych.