POLITYKA OCHRONY DANYCH OSOBOWYCH.

Naszym Klientom staramy się zawsze wskazywać, iż przygotowanie przedsiębiorstwa do wymogów RODO składa się z kilku filarów. Jednym z podstawowych elementów systemu ochrony danych osobowych, poza audytowaniem, szkoleniem i analizowaniem ryzyka jest posiadanie odpowiedniej dokumentacji. Dokumentacja taka jest niezbędna głównie ze względu na zasadę rozliczalności, zgodnie z którą podmiot przetwarzający dane osobowe musi być w stanie wykazać, iż robi to w sposób zgodny z prawem.

Trzonem dokumentacji dot. przetwarzania danych osobowych i swoistą „instrukcją użytkowania” w tym zakresie jest polityka ochrony danych osobowych. Jest ona dokumentem tym ważniejszym, im bardziej liczny personel ma do czynienia z przetwarzaniem danych osobowych w przedsiębiorstwie. Jednym z podstawowych zadań polityki ochrony danych osobowych jest bowiem pełnienie roli instruktażu postępowania przez personel z danymi osobowymi.

Czy polityka ochrony danych osobowych i polityka prywatności to jedno i to samo?

Nie. Są to dwa różne dokumenty. Polityka ochrony danych osobowych ma za zadanie uporządkowanie zasad przetwarzania danych osobowych i poinstruowanie personelu jak postępować ma z danymi osobowymi. Ma więc ona charakter dokumentu wewnętrznego. Polityka prywatności jest z kolei dokumentem kojarzonym głównie ze stronami internetowymi, pełniąc rolę dokumentu informującego użytkowników strony internetowej na temat tego co robimy z ich danymi osobowymi w związku z korzystaniem z naszej strony internetowej. Jest to więc dokument o charakterze zewnętrznym.

Czy polityka ochrony danych osobowych jest dokumentem obowiązkowym?

To zależy. Nie jest ona bowiem bezwzględnie wymagana przez RODO. Ogólne rozporządzenie o ochronie danych wskazuje jednakże już w motywie 78, iż „Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych”. Art. 24 ust. 2 RODO wskazuje ponadto, iż „Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych”. O ile więc danych osobowych nie przetwarzamy jedynie incydentalnie, np. prowadząc mały warsztat samochodowy lub zakład fryzjerski (nie mylić z zakładem kosmetycznym, w którym dochodzi często do przetwarzania szczególnie chronionych tzw. danych wrażliwych), powinniśmy wdrożyć politykę ochrony danych osobowych. Uczulamy jednocześnie, iż wielu przedsiębiorców nie do końca zdaje sobie sprawę jak często i w jak szerokim zakresie przetwarza dane osobowe. Nadal pokutować zdaje się mit, iż ochroną prawną objęte są jedynie dane osobowe konsumentów a przetwarzanie danych osobowych to jedynie ich ujawnianie (podczas gdy jest nim nawet samo przechowywanie danych).

Co zawierać powinna polityka ochrony danych osobowych?

Tak jak wskazywaliśmy, polityka ochrony danych osobowych powinna pełnić rolę instruktażu postępowania z danymi osobowymi w przedsiębiorstwie. Na politykę składać powinno się więc m.in.:

  1. Zdefiniowanie czym są dane osobowe.

  2. Wyjaśnienie co oznacza ochrona danych osobowych i jakie są jej podstawowe aspekty.

  3. Wyjaśnienie jakie środki ochrony danych osobowych personel zobowiązany jest stosować przetwarzając dane osobowe.

  4. Wyjaśnienie podstawowych zasad przetwarzania danych osobowych (m.in. zasady minimalizacji, legalności oraz celowości i proporcjonalności przetwarzania danych).

  5. Wyjaśnienie podstawowych zasad postępowania z dokumentacją papierową oraz sprzętem elektronicznym.

  6. Informacje o prawach przysługujących osobom, których dane osobowe są przetwarzane oraz o zasadach realizacji tych praw.

  7. Wyjaśnienie na czym polega rejestrowanie danych osobowych i podkreślenie roli jaką pełni rejestr czynności przetwarzania danych osobowych.

  8. Wytłumaczenie zasad, w oparciu o które dochodzić może do przekazywania danych osobowych na zewnątrz organizacji.

  9. Wytłumaczenie na czym polegać może naruszenie ochrony danych osobowych.

  10. Wytłumaczenie jak zachować powinien się personel w przypadku podejrzenia naruszenia ochrony danych osobowych.

  11. Informacje o konsekwencjach jakie ponieść może personel w związku z brakiem stosowania się do polityki ochrony danych.

Dobra, funkcjonalna polityka ochrony danych osobowych zawierać winna ponadto wzory najważniejszych formularzy stosowanych przy przetwarzaniu danych osobowych – np. formularza upoważnienia do przetwarzania danych osobowych, szablonu umowy powierzenia przetwarzania danych osobowych, rejestru czynności przetwarzania danych osobowych, rejestru naruszeń danych osobowych.

Powyższy potężny zasób informacji jakie należy uwzględnić w polityce ochrony danych osobowych pokazuje jak ważnym jest ona dokumentem. Konieczne jest przy tym przygotowanie jej „z głową” gdyż nie wystarczy samo spisanie zasad przetwarzania danych osobowych – do raz spisanych zasad należy się następnie stosować i być w stanie udowodnić przestrzeganie ich (w przypadku kontroli prowadzonej przez organ nadzorczy obowiązuje bowiem zasada odwróconego ciężaru dowodowego i domniemania braku realizacji obowiązków prawnych wynikających z przetwarzania danych osobowych).

Dobrze przygotowana polityka ochrony danych osobowych stanowi zbiór wytycznych służących administratorowi do budowy rzeczywiście funkcjonującego systemu ochrony danych osobowych, pomagając uchronić się przed negatywnymi konsekwencjami wynikającymi z jakże wciąż częstego niestosowania się do podstawowych zasad przetwarzania danych osobowych.

Jakiej dodatkowej dokumentacji potrzebuje administrator?

Przede wszystkim: rejestru czynności przetwarzania, szablonu umowy powierzenia przetwarzania danych osobowych oraz szablonu klauzul informacyjnych, które doręczać należy osobom, których dane osobowe przetwarzamy.

Wpisy powiązane:

Bezpieczeństwo przetwarzanych danych.

Zasady RODO.

Zasada rozliczalności.

Privacy by design.

Privacy be default.

Wdrożenie RODO.

RODO - podstawowe informacje.

Kontrola zgodności z RODO.

RODO w służbie zdrowia.

RODO w hotelu.

Data publikacji: 26.04.2019.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz