Dokumentowanie realizacji zadań przez inspektora ochrony danych – czy warto to robić

Przepisy RODO rekomendują, aby w stosownym przypadku, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania. W organizacjach, w których zostanie wyznaczony inspektor ochrony danych, to właśnie on będzie nadzorował stosowanie i dokumentowanie tych odpowiednich środków bezpieczeństwa, a w wielu przypadkach osobiście będzie prowadził różnego rodzaju dokumentację opisującą sposób przetwarzania i ochrony danych.

Wprawdzie wraz z rozpoczęciem stosowania RODO od 25 maja 2018 r. przestanie obowiązywać dotychczasowa ustawa o ochronie danych osobowych wraz ze wszystkimi rozporządzeniami wykonawczymi do niej, jednak wiele wypracowanych na jej podstawie odpowiednich dokumentów, dobrych praktyk i procedur nadal będzie miało zastosowanie w pracy inspektora ochrony danych (IOD).

Analizując zadania inspektora ochrony danych wskazane zarówno w art. 39 RODO, jak i nieco szerzej opisane w wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (DPO – Data Protection Officer), widzimy, że inspektor ma przede wszystkim obowiązek:  

1) informować (szkolić) kierownictwo i osoby upoważnione do przetwarzania danych osobowych o obowiązkach wynikających z przepisów prawa z zakresu ochrony danych osobowych,  

2) monitorować zgodność działania z ogólnym rozporządzeniem o ochronie danych,

3) brać udział w ocenie skutków dla ochrony danych,

4) współpracować z organem nadzorczym,

5) pełnić funkcję punktu kontaktowego dla podmiotów danych,

6) analizować ryzyko w obszarze bezpieczeństwa informacji, zwłaszcza ochrony danych osobowych,

7) prowadzić (lub przynajmniej nadzorować prowadzenie) rejestr czynności przetwarzania danych osobowych lub/i rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Czynności te w jakiś sposób powinny być udokumentowane.

Kiedy informacja jest udokumentowana?

Udokumentowana informacja, zgodnie z definicją zwłaszcza z normy ISO 27000, to informacja, która wymaga kontrolowania i utrzymywania przez organizację oraz nośnik, na którym jest ona zapisana. Informacja może być udokumentowana w dowolnym formacie, na dowolnym medium oraz pochodzić z dowolnego źródła. Wcale nie trzeba więc mnożyć dokumentów papierowych, by udokumentować wykonywanie zadań przez inspektora ochrony danych.

RODO stwierdza, że chociażby wymagane w określonych sytuacjach rejestry mają formę pisemną, w tym elektroniczną. Rejestrowanie czynności przetwarzania danych osobowych, zgodnie z art. 30 RODO, a w oryginalnej angielskiej wersji Records of processing activities, czyli zapis aktywności przetwarzania, polega na zinwentaryzowaniu:

• wszelkich grup informacji zawierających dane osobowe,
• procesów dotyczących gromadzenia danych osobowych ze wskazaniem celu przetwarzania danych, kategorii osób, zakresu zbieranych danych i kilku innych informacji określonych w ust. 1 tego artykułu.

Mówimy tu więc o procesach, aktywnościach dotyczących przetwarzania danych osobowych, o zestawach danych osobowych, a nie o operacjach wykonywanych na danych osobowych, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie itd. Przy prowadzeniu takiego rejestru nie przekraczajmy granic absurdu. Po niewielkim zmodyfikowaniu można do tego wykorzystać dotychczasowy rejestr zbiorów prowadzony przez ABI. Może się też przydać do opisania każdego z osobna zbioru danych (zwłaszcza tam, gdzie tych procesów przetwarzania/zbiorów danych nie ma wiele), po odpowiednim uzupełnieniu i drobnych zmianach, dotychczasowy wniosek zgłoszenia zbioru danych do rejestracji GIODO.

Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora to rejestr prowadzony przez podmiot przetwarzający. Jest to spis zleceniodawców, administratorów, którzy powierzyli dane do przetwarzania temu procesorowi. Dodatkowe informacje, które ma zawierać, wskazuje art. 30 ust. 2 RODO. Czy jednak to inspektor ochrony danych ma prowadzić ten rejestr, zwłaszcza jeśli jest specjalistą zewnętrznym? To zależy od decyzji podjętych w organizacji.

Należałoby się również zastanowić, kto i jak będzie prowadził wykaz podmiotów zewnętrznych, którym organizacja powierza dane osobowe do przetwarzania, aby skutecznie nadzorować zawieranie odpowiednich umów powierzenia.

Inspektor ochrony danych, odpowiadając za informowanie kierownictwa i osób upoważnionych do przetwarzania danych osobowych o obowiązkach wynikających z przepisów prawa z zakresu ochrony danych osobowych, powinien zorganizować szkolenia w tym zakresie. Wskazane jest, aby prowadził takie szkolenia osobiście, dokumentując to chociażby opisem szkolenia i listą obecności. Może też korzystać z różnych innych form – od e-szkoleń, platform edukacyjnych, testów, kart szkoleniowych, po zapraszanie trenerów i specjalistów zewnętrznych. Wszelkie szkolenia powinny być skuteczne, zrozumiałe, w prosty i praktyczny sposób wnosić przydatną wiedzę i mieć wartość merytoryczną. Oprócz formalnego dowodu ich zorganizowania powinna pozostać po nich przydatna wiedza.

Do monitorowania zgodności działań z RODO mogą się przydać i nadal być stosowane plany sprawdzeń oraz sprawozdania zarówno ze sprawdzeń okresowych, jak i doraźnych prowadzonych obecnie przez ABI. Inspektor ochrony danych powinien określić plan wewnętrznych audytów dotyczących ochrony danych osobowych. Wcześniej jednak należałoby opracować plan wdrożenia RODO w organizacji, w którym będą opisane nowe wymogi prawne, określone zadania do wykonania i – aby je spełnić – przypisane odpowiedzialne za to osoby, wskazane terminy realizacji. W umówionym czasie powinno się to wszystko podsumować, ocenić stan realizacji i przeprowadzić swego rodzaju audyt zamknięcia.

Najważniejszą kwestią wynikającą z ogólnego rozporządzenia o ochronie danych jest przeprowadzenie szacowania ryzyka w obszarze ochrony danych osobowych, szczególnie pod kątem skutków dla osoby, której dane dotyczą, w przypadku ewentualnego naruszenia bezpieczeństwa danych. Odpowiednie analizy mają wskazać, jakie środki bezpieczeństwa, zarówno organizacyjne, jak i techniczne, zastosować, aby były one odpowiednie, proporcjonalne i skuteczne. Nie może więc to być sztuka dla sztuki. Należy opracować i przyjąć rozsądną dla organizacji metodykę szacowania ryzyka. Pomocna jest tu norma PN-ISO/IEC 27005 – Zarządzanie ryzykiem w bezpieczeństwie informacji.

Wytyczne Grupy Roboczej Art. 29 dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko, podpowiadają, jak taką ocenę przeprowadzić i dokumentować. GIODO również wydaje wskazówki w tym zakresie.

Nowym obowiązkiem formalnym wprowadzonym przez RODO jest zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu. W związku z tym należy opracować i wdrożyć w organizacji skuteczną instrukcję postępowania w przypadku wystąpienia (czy nawet podejrzenia wystąpienia) naruszenia ochrony danych. Pracownicy powinni wiedzieć, komu i jak zgłaszać takie problemy oraz że powinni zrobić to niezwłocznie.

Inspektor ochrony danych, na podstawie opracowanych w ramach takiej instrukcji wzorów raportów z naruszenia i rejestrów naruszeń, analizuje dany incydent i decyduje, czy trzeba zgłaszać go do urzędu ochrony danych. Jeśli tak, to co ma zawierać takie zgłoszenie, opisuje art. 33 ust. 3 RODO.