Jakie dokumenty zgodnie z RODO powinien opracować podmiot przetwarzający

Od 25 maja 2018 r. bezpośrednio w Polsce będzie stosowane unijne rozporządzenie ogólne o ochronie danych, czyli tzw. RODO. Rozporządzenie to wskazuje, że podmiot przetwarzający musi m.in. prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (podmiotu, który powierzył mu dane). Wynika to z art. 30 ust. 2 RODO. W takim rejestrze trzeba uwzględnić:

• imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego bądź podmiotów przetwarzających oraz każdego administratora, w którego imieniu działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora albo podmiotu przetwarzającego oraz inspektora ochrony danych,
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
• gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Jeśli w podmiocie przetwarzającym dojdzie do naruszenia ochrony danych (np. w wyniku awarii sprzętu procesor utraci dane osobowe), trzeba będzie zawiadomić o takim naruszeniu organ nadzorczy, a jeśli naruszenie dotyczy powierzonych danych, to poinformować o tym podmiot, który te dane procesorowi powierzył. RODO nakazuje dokumentować takie naruszenia (art. 33 ust. 5 RODO). W tym celu można prowadzić rejestr naruszeń, w którym odnotowuje się wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. 

Trzeba też pamiętać, że powierzenie przetwarzania danych powinno odbywać się na podstawie umowy (art. 28 ust. 3 RODO). Podmiot przetwarzający powinien więc mieć zawartą umowę powierzenia z podmiotem, który przekazuje mu dane.

Dodatkowo art. 28 ust. 3 lit. b RODO stanowi, że podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Oznacza to, że w jakiś sposób trzeba upoważnić pracowników, którzy mają dostęp do powierzonych danych, do ich przetwarzania, w tym celu można wydać im pisemne upoważnienia (tak jak było to do tej pory) i odebrać od nich oświadczenia o zachowaniu tajemnicy.

Każda firma indywidualnie będzie musiała ocenić, jakie środki ochrony danych powinna wdrożyć, tzn. m.in. jakie inne dokumenty może przygotować, aby zapewnić bezpieczeństwo danych. RODO stanowi np., że jeżeli podmiot uzna to za stosowne i potrzebne, może opracować polityki ochrony danych (art. 24 ust. 2 RODO).

Należy pamiętać również o zasadzie rozliczalności. Zgodnie z nią administrator musi umieć wykazać, że wypełnia przepisy RODO. Realizację wielu takich obowiązków można udowodnić, przygotowując odpowiednie dokumenty, np.:

• dokumentację potwierdzającą przeprowadzenie oceny skutków dla ochrony danych,
• instrukcję postępowania w przypadku naruszenia ochrony danych osobowych,
• procedurę informowania o naruszeniu,
• dokumentację potwierdzającą spełnienie przez inspektora ochrony danych wymagań stawianych przez RODO,
• akt wyznaczenia inspektora ochrony danych,
• określenie procedur działania inspektora i współpracy z nim,
• raporty z działalności inspektora ochrony danych, np. z przeprowadzonych audytów, szkoleń,
• dokumentacja potwierdzająca realizację praw osób, których dane dotyczą, np. ewidencja żądań podmiotów danych zawierająca opis sposobu załatwienia sprawy.

Są to jedynie przykładowe dokumenty, które można wdrożyć, jednak ich przygotowanie nie jest obowiązkowe. Ostateczna decyzja co do tego, jakie dodatkowe dokumenty będą przydatne, będzie zależeć od podmiotu przetwarzającego.