Jak dokumentować przetwarzanie danych "zgodnie z RODO"?
25.06.2018 – czyli na pamiątkę „miesięcznicy RODO”
Wskazuję tu jedynie na pewien nowy model chęci czy też konieczności „dokumentowania” przetwarzania danych osobowych. A ten nowy model to taki kolejny „zachodni wynalazek”, który w mojej ocenie chyba nie za bardzo przyjmuje się w krajowej rzeczywistości.
W obecnym nowym stanie prawnym dotyczącym przetwarzania danych osobowych (RODO*, nowa ustawa o ochronie danych osobowych** i inne przepisy powiązane – dalej prawo ochrony danych osobowych) z zasady nie definiuje się wprost dokumentów jakie powinien posiadać administrator na rzecz dowodzenia tego, że czynności przetwarzania są zgodne z prawem ochrony danych osobowych. Z kluczowej w tym zakresie treści art. 24 ust 1 RODO wynika ogólna idea, w ramach której administrator danych ma „być w stanie wykazać” (GDPR/ang.: „be able to demonstrate”) całościowo zgodność z prawem przetwarzania danych osobowych.
Idea „być w stanie wykazać”(„be able to demonstrate”)
Idea „być w stanie wykazać” jest przedmiotem w szczególności zawartości motywów 74, 77, 78, 84, 85, 90. Wynika z nich – choć nie wprost – głównie to, że to administrator decyduje o tym, czy idea „być w stanie wykazać” („be able to demonstrate”) przyjmie postać konkretnego dokumentu – w odniesieniu do ogółu okoliczności przetwarzania danych osobowych. Ukoronowaniem tej idei jest treść wpisana w art. 5 ust. 2 RODO: „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).”
W RODO nie są zawarte żadne wprost przepisy odnoszące się do praktyki sposobu prowadzenia dokumentacji przetwarzania danych osobowych, jak również jej zawartości (tu jednak w niektórych przypadkach jest inaczej – o czym niżej). Jednocześnie nie można jednak pójść w kierunku twierdzenia, że administrator danych nie jest zobligowany do posiadania żadnej dokumentacji. Zasadą jest to, że RODO nie określa formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych i daje tym samym dużą swobodę w tym zakresie administratorom danych.
O „dokumentowaniu” przykładowo wprost stanowi się w:
- w art. 28 dotyczącym podmiotu przetwarzającego: „Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy […]. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora […].”
- w art. 30 dotyczącym rejestrowania czynności przetwarzania: „Każdy administrator […] prowadzi rejestr czynności przetwarzania danych osobowych, […]. W rejestrze tym zamieszcza się wszystkie następujące informacje: […] gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, […], a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń.”
- w art. 33 dotyczącym zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu: „administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania niniejszego artykułu.”
Zatem, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych administrator danych w większości obszarów dowolnie może kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przetwarzania. W RODO nakreślono w kilku przypadkach pewne wymagania formalne dotyczące zakresu czynności w rozumieniu dokumentowania:
- prowadzenie rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
- zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
- prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
- zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.
W RODO nie wymaga się, aby dokument miał określoną nazwę, czy strukturę. Ważne jest tylko, aby administrator danych wykazał, że wymienione wyżej rejestry, czy raporty posiada i aby ich zawartość była zgodna ze wskazanymi wyżej wymaganiami wynikającymi odpowiednio z art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 RODO. Są one jedynie specyficzne pod tym względem, że wskazany jest zakres informacji, jaki w danym obszarze powinien być uwzględniony. Wskazane zakresy mają znaczenie katalogów otwartych.
Wymagania zawarte art. 24 RODO stanowiące, że administrator powinien „być w stanie wykazać” przestrzegania przepisów RODO oznacza w praktyce, że sposób przetwarzania danych, związane z nim procedury, jak i zastosowane zabezpieczenia techniczne i organizacyjne, również mogą być zawarte w dowolnej dokumentacji (ze wskazaniem wykorzystania dokumentacji wyżej przedstawionej) – jako spełnienie obowiązku wykazania, że przestrzegane są wymagania RODO.
Kwestia najważniejsza
Powtórzę kwestię najważniejszą: to administrator decyduje o tym, czy idea „być w stanie wykazać” („be able to demonstrate”) przyjmie postać konkretnego dokumentu. Uważam, że z tej swobody należy w pełni korzystać – która to jednak swoboda, jako „zachodni wynalazek”, chyba nie za bardzo przyjmie się w naszych warunkach krajowych, na co wskazują już choćby zalecenia UODO (proszę porównać zalecenia naszego organu do zaleceń na przykład organu brytyjskiego – rozwiązania brytyjskie są uznawane za jedne z najlepszych). Wszak w nowym stanie prawnym ochrony danych osobowych chodzi przecież o to, że każdy, kto ma do czynienia ze zautomatyzowanym przetwarzaniem danych osobowych albo z przetwarzaniem danych osobowych poprzez zbiór danych osobowych (w zbiorze, ze zbioru, do zbioru,…), czyli inny niż zautomatyzowany – czyli każdy kto ma do czynienia z czynnością przetwarzania danych osobowych winien być świadom tego, że ma do czynienia z czynnością przetwarzania i muszą zaistnieć dowody tej świadomości (najlepiej kojarzone z rejestrem czynności przetwarzania) oraz muszą zaistnieć dowody zgodnego z prawem przetwarzania, czyli dowody będące konsekwencją spełniania co najmniej jednego z warunków wskazywanych w art. 6 ust. 1 RODO.
W praktyce
W praktyce poprzez dowolny zakres stosowanej dokumentacji administrator ma obowiązek „być w stanie wykazać”, że:
- stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO (dotyczy każdej organizacji i każdej czynności przetwarzania);
- zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO (dotyczy każdej organizacji i każdej czynności przetwarzania);
- zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO (dotyczy każdej organizacji);
- zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO (dotyczy każdej organizacji);
- zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO (dotyczy każdej organizacji);
- zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowania przestrzegania przepisów i przyjętych procedur przetwarzania przez inspektora ochrony danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postepowania – art. 27- 43;
- stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.
więcej informacji:
https://uodo.gov.pl/pl/138/273, Dokumentacja przetwarzania danych osobowych zgodnie z RODO
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/documentation/, Documentation
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/documentation/, more detailed guidance on documentation