Dokumentowanie realizacji zadań przez inspektora ochrony danych – czy warto to robić

Piotr Glen

Autor: Piotr Glen

Dodano: 5 lutego 2018
Dokumentowanie realizacji zadań przez inspektora ochrony danych – czy warto to robić

Ogólne rozporządzenie o ochronie danych (RODO) jest dość generalne i nie precyzuje konkretnych środków bezpieczeństwa, jakie należy zastosować w celu odpowiedniej ochrony danych osobowych, ani też sposobów ich dokumentowania. Niemniej jednak w wielu artykułach mocno podkreśla się obowiązek wykazania stosowania odpowiednich środków bezpieczeństwa i udowodnienia, że działa się zgodnie z przepisami. Dowiedz się, czy w związku z tym trzeba będzie dokumentować realizację zadań przez inspektora ochrony danych.

Przepisy RODO rekomendują, aby w stosownym przypadku, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania. W organizacjach, w których zostanie wyznaczony inspektor ochrony danych, to właśnie on będzie nadzorował stosowanie i dokumentowanie tych odpowiednich środków bezpieczeństwa, a w wielu przypadkach osobiście będzie prowadził różnego rodzaju dokumentację opisującą sposób przetwarzania i ochrony danych.

Wprawdzie wraz z rozpoczęciem stosowania RODO od 25 maja 2018 r. przestanie obowiązywać dotychczasowa ustawa o ochronie danych osobowych wraz ze wszystkimi rozporządzeniami wykonawczymi do niej, jednak wiele wypracowanych na jej podstawie odpowiednich dokumentów, dobrych praktyk i procedur nadal będzie miało zastosowanie w pracy inspektora ochrony danych (IOD).

Jakie zadania będzie miał inspektor ochrony danych

Analizując zadania inspektora ochrony danych wskazane zarówno w art. 39 RODO, jak i nieco szerzej opisane w wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (DPO – Data Protection Officer), widzimy, że inspektor ma przede wszystkim obowiązek:  

1) informować (szkolić) kierownictwo i osoby upoważnione do przetwarzania danych osobowych o obowiązkach wynikających z przepisów prawa z zakresu ochrony danych osobowych,  

2) monitorować zgodność działania z ogólnym rozporządzeniem o ochronie danych,

3) brać udział w ocenie skutków dla ochrony danych,

4) współpracować z organem nadzorczym,

5) pełnić funkcję punktu kontaktowego dla podmiotów danych,

6) analizować ryzyko w obszarze bezpieczeństwa informacji, zwłaszcza ochrony danych osobowych,

7) prowadzić (lub przynajmniej nadzorować prowadzenie) rejestr czynności przetwarzania danych osobowych lub/i rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Czynności te w jakiś sposób powinny być udokumentowane.

Kiedy informacja jest udokumentowana?

Udokumentowana informacja, zgodnie z definicją zwłaszcza z normy ISO 27000, to informacja, która wymaga kontrolowania i utrzymywania przez organizację oraz nośnik, na którym jest ona zapisana. Informacja może być udokumentowana w dowolnym formacie, na dowolnym medium oraz pochodzić z dowolnego źródła. Wcale nie trzeba więc mnożyć dokumentów papierowych, by udokumentować wykonywanie zadań przez inspektora ochrony danych.

Rejestrowanie czynności przetwarzania danych osobowych

RODO stwierdza, że chociażby wymagane w określonych sytuacjach rejestry mają formę pisemną, w tym elektroniczną. Rejestrowanie czynności przetwarzania danych osobowych, zgodnie z art. 30 RODO, a w oryginalnej angielskiej wersji Records of processing activities, czyli zapis aktywności przetwarzania, polega na zinwentaryzowaniu:

  • wszelkich grup informacji zawierających dane osobowe,
  • procesów dotyczących gromadzenia danych osobowych ze wskazaniem celu przetwarzania danych, kategorii osób, zakresu zbieranych danych i kilku innych informacji określonych w ust. 1 tego artykułu.

PRZYKŁAD

Czynnościami przetwarzania będą praktycznie dotychczasowe zbiory danych osobowych, precyzyjnie nazwane, potraktowane jako proces, aktywność związaną z przetwarzaniem danych, jak np. „Osoby ubiegające się o zatrudnienie – rekrutacja (proces rekrutacji)”, „Umowy cywilnoprawne dotyczące zatrudnienia” lub „Umowy o pracę” czy „Prowadzenie programu lojalnościowego”.

Mówimy tu więc o procesach, aktywnościach dotyczących przetwarzania danych osobowych, o zestawach danych osobowych, a nie o operacjach wykonywanych na danych osobowych, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie itd. Przy prowadzeniu takiego rejestru nie przekraczajmy granic absurdu. Po niewielkim zmodyfikowaniu można do tego wykorzystać dotychczasowy rejestr zbiorów prowadzony przez ABI. Może się też przydać do opisania każdego z osobna zbioru danych (zwłaszcza tam, gdzie tych procesów przetwarzania/zbiorów danych nie ma wiele), po odpowiednim uzupełnieniu i drobnych zmianach, dotychczasowy wniosek zgłoszenia zbioru danych do rejestracji GIODO.

Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora to rejestr prowadzony przez podmiot przetwarzający. Jest to spis zleceniodawców, administratorów, którzy powierzyli dane do przetwarzania temu procesorowi. Dodatkowe informacje, które ma zawierać, wskazuje art. 30 ust. 2 RODO. Czy jednak to inspektor ochrony danych ma prowadzić ten rejestr, zwłaszcza jeśli jest specjalistą zewnętrznym? To zależy od decyzji podjętych w organizacji.

Należałoby się również zastanowić, kto i jak będzie prowadził wykaz podmiotów zewnętrznych, którym organizacja powierza dane osobowe do przetwarzania, aby skutecznie nadzorować zawieranie odpowiednich umów powierzenia.

Dokumentowanie prowadzenia szkoleń

Inspektor ochrony danych, odpowiadając za informowanie kierownictwa i osób upoważnionych do przetwarzania danych osobowych o obowiązkach wynikających z przepisów prawa z zakresu ochrony danych osobowych, powinien zorganizować szkolenia w tym zakresie. Wskazane jest, aby prowadził takie szkolenia osobiście, dokumentując to chociażby opisem szkolenia i listą obecności. Może też korzystać z różnych innych form – od e-szkoleń, platform edukacyjnych, testów, kart szkoleniowych, po zapraszanie trenerów i specjalistów zewnętrznych. Wszelkie szkolenia powinny być skuteczne, zrozumiałe, w prosty i praktyczny sposób wnosić przydatną wiedzę i mieć wartość merytoryczną. Oprócz formalnego dowodu ich zorganizowania powinna pozostać po nich przydatna wiedza.

Dokumentowanie monitorowania zgodności z RODO

Do monitorowania zgodności działań z RODO mogą się przydać i nadal być stosowane plany sprawdzeń oraz sprawozdania zarówno ze sprawdzeń okresowych, jak i doraźnych prowadzonych obecnie przez ABI. Inspektor ochrony danych powinien określić plan wewnętrznych audytów dotyczących ochrony danych osobowych. Wcześniej jednak należałoby opracować plan wdrożenia RODO w organizacji, w którym będą opisane nowe wymogi prawne, określone zadania do wykonania i – aby je spełnić – przypisane odpowiedzialne za to osoby, wskazane terminy realizacji. W umówionym czasie powinno się to wszystko podsumować, ocenić stan realizacji i przeprowadzić swego rodzaju audyt zamknięcia.

Dokumentowanie oceny skutków dla ochrony danych

Najważniejszą kwestią wynikającą z ogólnego rozporządzenia o ochronie danych jest przeprowadzenie szacowania ryzyka w obszarze ochrony danych osobowych, szczególnie pod kątem skutków dla osoby, której dane dotyczą, w przypadku ewentualnego naruszenia bezpieczeństwa danych. Odpowiednie analizy mają wskazać, jakie środki bezpieczeństwa, zarówno organizacyjne, jak i techniczne, zastosować, aby były one odpowiednie, proporcjonalne i skuteczne. Nie może więc to być sztuka dla sztuki. Należy opracować i przyjąć rozsądną dla organizacji metodykę szacowania ryzyka. Pomocna jest tu norma PN-ISO/IEC 27005 – Zarządzanie ryzykiem w bezpieczeństwie informacji.

Wytyczne Grupy Roboczej Art. 29 dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko, podpowiadają, jak taką ocenę przeprowadzić i dokumentować. GIODO również wydaje wskazówki w tym zakresie.

Dokumentowanie działań związanych z naruszeniami

Nowym obowiązkiem formalnym wprowadzonym przez RODO jest zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu. W związku z tym należy opracować i wdrożyć w organizacji skuteczną instrukcję postępowania w przypadku wystąpienia (czy nawet podejrzenia wystąpienia) naruszenia ochrony danych. Pracownicy powinni wiedzieć, komu i jak zgłaszać takie problemy oraz że powinni zrobić to niezwłocznie.

Inspektor ochrony danych, na podstawie opracowanych w ramach takiej instrukcji wzorów raportów z naruszenia i rejestrów naruszeń, analizuje dany incydent i decyduje, czy trzeba zgłaszać go do urzędu ochrony danych. Jeśli tak, to co ma zawierać takie zgłoszenie, opisuje art. 33 ust. 3 RODO.

Ważne:

Wszelkie procedury, instrukcje czy raporty mają służyć użytkownikom, inspektorowi ochrony danych i organizacji, czyli procedury są dla ludzi, a nie ludzie dla procedur. Mają być one skutecznie stosowane, a tym samym muszą być proste, przejrzyste i zrozumiałe. Trzeba też umieć wykazać, udowodnić, że są przestrzegane. Obawiam się więc, że przed papierologią nie uciekniemy, a wręcz może być jej jeszcze więcej. W miarę możliwości korzystaj jednak jak najczęściej z rozwiązań informatycznych i z formy elektronicznej.

Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel