9-2

Dokumentacja przetwarzania danych osobowych zgodnie z RODO

W Rozporządzeniu Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO) nie ma jakichkolwiek wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych na wzór nieobowiązującego już Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim muszą odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Art. 24 ust. 2 RODO podaje tylko, iż jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki organizacyjne i techniczne obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

W odpowiedzi na liczne pytania  dotyczące zagadnienia jak należy konstruować dokumentację RODO, Urząd Ochrony Danych Osobowych w dniu 28 maja 2018 r. opublikował na swojej stronie internetowej zalecenia / propozycje dotyczące dokumentacji, którą powinien wdrożyć administrator danych.

Poniżej cytujemy zasadniczą treść stanowiska PUODO.

1. Wymagania formalne dotyczące dokumentacji przetwarzania określone w RODO

W aktualnym systemie prawnym dotyczącym przetwarzania danych osobowych administrator danych w większości obszarów dowolnie może kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przetwarzania. Pośród obszarów, w odniesieniu do których RODO nakreślono jednak pewne wymagania formalne dotyczące zakresu dokumentowania pozostały takie zagadnienia jak:

  1. prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  4. zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

RODO nie wymaga jednak, aby dokument zawierający wspomniane wyżej, obligatoryjne elementy dokumentacji miał konkretną nazwę, czy strukturę. Ważne jest tylko, aby administrator danych wykazał, iż wymienione wyżej rejestry, czy raporty posiadał i żeby ich zawartość była zgodna z wskazanymi wyżej wymaganiami tj. wymaganiami wskazanymi odpowiednio w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 RODO.

Należy jednak zwrócić uwagę na to, że wskazane w RODO wymagania wymienione w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 nie są jedynymi, jakie należy uwzględnić w dokumentacji przetwarzania. Są one jedynie specyficzne pod tym względem, iż wskazany jest zakres informacji, jaki w danym obszarze powinien być uwzględniony.

2. Jakie elementy powinna zawierać dokumentacja przetwarzania, aby spełniała wymagania RODO

Jak już wspomniano wcześniej, nieprawdą jest, jak twierdzą wprost niektórzy z ekspertów, iż RODO znosi „uciążliwy dotąd” obowiązek prowadzenia dokumentacji przetwarzania danych tj. dokumentacji, na która składa się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Obecnie, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych, nie podaję się dokumentów jakie administrator powinien posiadać, żeby wykazać zgodność realizowanych czynności przetwarzania, poza elementami wymienionymi w rozdziale 1. Z treści art. 24 ust 1 RODO wynika jednak, iż administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:

  1. stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
  2. zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
  3. zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
  4. zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
  5. zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst oraz cele przetwarzania danych – art. 32- 36 RODO,
  6. zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy też monitorujące przestrzeganie przyjętych kodeksów postepowania – art. 27- 43,
  7. stosuje się do wymagań w zakresie przekazywania danych do państw trzecich oraz instytucji międzynarodowych – art. 44 – 49 RODO.

Trzeba jednak zaznaczyć, iż zgodnie z art. 24 oraz art. 32 RODO przy wykonywaniu wyżej przedstawionych obowiązków w zakresie zapewniania zgodności należy uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania oraz  ryzyka na jakie są narażone przetwarzane dane.

3. Czy dotychczas stosowana dokumentacja przetwarzania może być wykorzystana?

Obecnie prowadzona dokumentacja, w której skład wchodzą polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek wykazania przestrzegania stosowania przepisów RODO wynikający z art. 24 RODO nie podaje bowiem w jaki sposób, poprzez jakie dokumenty, czy inne instrumenty zarządzania powinien być zrealizowany. Przepis art. 24 RODO stanowi jedynie, że administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Opracowana w powyższy sposób dokumentacja, powinna więc opisywać zastosowane w powyższym celu procedury i środki techniczne.

Jeśli zatem prowadzona wg. dotychczas obowiązujących wymagań dokumentacja zawierała obowiązkowe elementy, takie jak inwentaryzacja zasobów informacyjnych, opis przepływy danych między systemami czy specyfikacje środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa to w pełni można je przenieść do nowej dokumentacji.

Nie ma również żadnych przeszkód, aby do problemu nowej dokumentacji, która będzie spełniała nowe wymagania, o których mowa wyżej podejść w sposób odwrotny, t.j uzupełnić do tej pory stosowaną dokumentacje o nowe elementy wymienione w rozdziale 1 takie jak:

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. procedury dotyczące zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  4. raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.
  • jeśli zgodnie z przepisami RODO są wymagane (dotyczy punktu 4).

Należy także pamiętać, że dokumentując przyjęte procedury i wymagania dotyczące przetwarzania danych osobowych, zgodnie z art. 32 ust 1 RODO, musimy mieć na uwadze, aby przyjęte rozwiązania były adekwatne do obecnego stanu wiedzy technicznej. Dotyczy to nie tylko wiedzy technicznej w zakresie dostępnych środków bezpieczeństwa, ale także wiedzy w zakresie systemów zarządzania bezpieczeństwem, do którego należą takie elementy jak standardy w zakresie zarzadzania, dokumentowania zmian, konfiguracji i innych elementów, które powinny być zawarte w dokumentacji przetwarzania.

Trzeba przy tym pamiętać również o innych obowiązujących wymaganiach prawnych nadal obowiązujących takich jak wymagania określone w takich przepisach jak:

  • ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2014 r. poz. 1114) oraz wydane do niej
  • rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity Dz. U. z 2016 r. poz. 113), nazywanym w skrócie Rozporządzeniem KRI.

W wyżej wymienionych dokumentach, w kontekście dokumentacji przetwarzania warto zwrócić uwagę w szczególności na § 20ust. 1 KRI, który stanowi, iż:

„Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność”.

W odniesieniu natomiast do działań jakie chcemy wykazać w kontekście wykazania dbałości o bezpieczeństwo przetwarzanych danych, dobrze jest skorzystać z zaleceń wymienionych w § 20 ust 2 rozporządzenia KRI odnoszących się do zarządzania bezpieczeństwem, które stanowi, że powinno to być zapewniane poprzez:

  1. zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  2. utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj oraz konfigurację;
  3. przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności czy też poufności informacji i podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  4. podejmowanie działań zapewniających, iż osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  5. bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
  6. zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    • zagrożenia bezpieczeństwa informacji,
    • skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    • stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
  7. zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
    • monitorowanie dostępu do informacji,
    • czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    • zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
  8. ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  9. zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
  10. zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  11. ustalenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji oraz środków przetwarzania informacji, w tym urządzeń mobilnych;
  12. zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    • dbałości o aktualizację oprogramowania,
    • minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    • ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    • stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    • zapewnieniu bezpieczeństwa plików systemowych,
    • redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    • niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    • kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
  13. bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony oraz z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
  14. zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

4. Czy dokumentacja przetwarzania zgodnie z RODO powinna zawierać Instrukcje zarządzania systemami informatycznymi

RODO nie określa wprost, jak należy udokumentować organizację przetwarzania i zarządzanie bezpieczeństwem przetwarzanych danych, w tym instrukcji zarządzania systemami informatycznymi. Wymaga jednak, żeby zastosowane środki bezpie­czeństwa oraz wszystkie podejmowane w tym zakresie działania można było wykazać. Jak stanowi art. 24 RODO, wykazując zgodność przetwarzania z obowiązującymi wymaganiami trzeba uwzględnić:

  1. charakter, zakres, kontekst oraz cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie oraz wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
  2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których wspomina w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
  3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Dodatkowo obowiązek prowadzenia dokumentacji przetwarzania danych wynika pośrednio także z art. 32 RODO dotyczącego bezpieczeństwa przetwarzania, który stanowi, iż: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…).”

Biorąc zaś pod uwagę fakt, iż jednym z najistotniejszych, powszechnie akceptowanych dokumentów przedstawiających aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem są m.in. normy ISO/IEC z serii 27000, w tym: norma PN-EN ISO/IEC 27001:2017 Technologia informacyjna - Techniki zabezpieczeń, oraz norma PN-EN ISO/IEC 27002:2017 Technika informatyczna - Technika bezpieczeństwa - Praktyczne zasady zabezpieczania informacji, warto zaznaczyć, że wyraźnie podkreśla się w nich fakt, że polityka bezpieczeństwa informacji powinna być: dostępna w formie udokumentowanej informacji, ogłoszona wewnątrz organizacji oraz dostępna dla zainteresowanych stron, jeśli jest to właściwe.

Jeżeli chodzi o zawartość dokumentacji przetwarzania, to należy mieć na uwadze wymienione m.in. w art. 24 i 32 RODO wymaganie wskazujące, że opracowana polityka bezpieczeństwa powinna uwzględniać zakres, kontekst i cele przetwarzania oraz ryzyka naruszenia praw i wolności, w tym prawdopodobieństwo ich wystąpienia. Odwołując się w powyższym zakresie do aktualnego stanu wiedzy, można się posłużyć z kolei normą PN-EN ISO/IEC 27002:2017, która zaleca w tym zakresie uwzględnić takie elementy, jak:

  • zarządzanie aktywami (przetwarzanymi zbiorami danych),
  • kontrole dostępu (rejestrowanie i wyrejestrowywanie użytkowników, zarządzanie hasłami oraz użycie uprzywilejowanych programów narzędziowych),
  • środki ochrony kryptograficznej (polityka stosowania zabezpieczeń, zarządzanie kluczami),
  • bezpieczeństwo fizyczne i środowiskowe i bezpieczeństwo eksploatacji (zarządzanie zmianami, zarządzanie pojemnością, zapewnienie ciągłości działania, rejestrowanie zdarzeń i monitorowanie),
  • bezpieczeństwo komunikacji (zabezpieczenie, rozdzielenie sieci),
  • pozyskiwanie, rozwój i utrzymywanie systemów,
  • relacje z dostawcami (umowy, w tym umowy powierzenia przetwarzania),
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  • zarządzanie ciągłością działania,
  • zgodność z wymogami prawnymi i umownymi.

Niektóre z wymienionych wyżej elementów zgodnie z obowiązującymi dotychczas wymaganiami powinny być zawarte w prowadzonej dotychczas instrukcji zarządzania systemami informatycznymi. A więc elementy te również można wykorzystać dla wykazania w nowej dokumentacji zgodności, o której mowa art. 24 RODO.

5. O jakie elementy należy uzupełnić dotychczas prowadzoną dokumentacje przetwarzania aby spełniała wymagania RODO?

Przygotowując dokument, którego celem ma być wykazanie zgodności przetwarzania danych z wymaganiami określonymi w RODO należy podejść elastycznie wykorzystując do tej pory prowadzoną dokumentację. Oznacza to, że należy zweryfikować dotychczasowe elementy występujące nie tylko w wymaganej dokumentacji na którą składała się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi, ale równie takie elementy jak ewidencję prowadzonych upoważnień do przetwarzania danych, czy uprawnień do poszczególnych funkcji użytkowanych systemów informatycznych.

Reasumując, nową, zgodną z RODO dokumentację przetwarzania danych osobowych, która będzie także instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, występujące w dotychczasowej dokumentacji elementy należy uzupełnić dodatkowo o takie elementy jak:

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw oraz wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  4. procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym wsponiano w art. 33 ust 5 RODO;
  5. raport z przeprowadzonej, ogólnej analizy ryzyka;
  6. raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  7. procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  8. plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  9. procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c  d RODO.

Uwaga!

Wymieniony powyżej zakres dokumentacji przetwarzania danych zgodnie z podejściem opartym na analizie ryzyka można w istotny sposób ograniczyć w przypadkach, gdzie brak jest niektórych ryzyk z uwagi na zastosowane tam rozwiązania.

Źródło: https://uodo.gov.pl/pl/138/273

Ze swojej strony zachęcamy do skorzystania z oferty wzorów dokumentacji, które zakupić można na stronie www.rododla.pl.

Prowadzenie dokumentacji może ułatwić specjalny program do zarządzania dokumentacją. Serdecznie polecamy - https://niezbednikrodo.pl/pl/.

Dodaj komentarz