W dniu 25 listopada 2018 r. upływa pół roku od rozpoczęcia stosowania przepisów unijnego rozporządzenia o ochronie danych osobowych. Z tej okazji na stronie internetowej Urzędu Ochrony Danych Osobowych, opublikowano oświadczenie Prezes Urzędu, dr Edyty Bielak-Jomaa.
Równolegle z oświadczeniem na stronie urzędu pojawiło się 10 wskazówek dla administratorów – jak stosować RODO, w oparciu o doświadczenia z pierwszego półrocza.
Z powyższymi komunikatami warto się zapoznać. Są one dostępne tutaj:
https://uodo.gov.pl/pl/171/576
https://uodo.gov.pl/pl/171/578
Jeden z punktów wykazu wskazówek dla administratorów nosi tytuł „Nie twórz niepotrzebnej dokumentacji”. Ponieważ w powyższym komunikacie został on omówiony głównie w kontekście zgód na przetwarzanie danych osobowych, warto rozwinąć ten temat.
Niepotrzebna dokumentacja to taka, której prowadzenie nie ułatwia administratorowi danych realizacji celów określonych w przepisach RODO, a czasami wręcz utrudnia. Prezes Urzędu Ochrony Danych Osobowych zwraca uwagę, że w pierwszym okresie stosowania nowych przepisów, wiele firm niejako „przedobrzyło”, w obawie przed wysokimi karami.
Z własnego doświadczenia zawodowego wiem, że niektóre rozwiązania (w tym informatyczne) komplikowały działalność biznesową firm, ale niekonieczne przyczyniały się one do zwiększenia bezpieczeństwa danych osobowych.
Przy wyborze właściwej dokumentacji należy mieć na uwadze zasady zgodności z prawem, przejrzystości i rozliczalności. Należy zadać sobie pytania, czy opracowanie danego dokumentu lub procedury jest wymogiem prawnym, czy przetwarzanie danych będzie dzięki temu bardziej przejrzyste oraz czy w razie ewentualnej kontroli będę mógł / mogła wykazać przed urzędem prawidłowe wykonywanie obowiązków wynikających z RODO. Ponadto, zawsze należy uwzględniać wpływ projektowanych rozwiązań prawnych na bezpieczeństwo przetwarzanych danych – jest to cel nadrzędny.
Jak wskazano w komunikacie UODO w odniesieniu do zgód na przetwarzanie danych osobowych, „przyjęte przez Ciebie i wdrożone procedury potwierdzone oświadczeniami pracowników mogą stanowić wystarczający dowód [odebrania zgody – przyp. aut].”
Pamiętajmy, że Urząd Ochrony Danych Osobowych nie ma podstaw wymagać od administratorów danych więcej niż wynika z przepisów obowiązującego prawa i nie powinien wyciągać negatywnych konsekwencji wobec podmiotu, który zastosował się do wykładni prawa lub oficjalnych wytycznych urzędu (zasada zaufania do administracji publicznej).
Podstawowa dokumentacja ochrony danych wedle standardu RODO jest znana i wiele informacji na ten temat znajdziesz w innych wpisach na blogu.
Tutaj zasygnalizuję tylko, że istnieje poza tym dokumentacja, czy szerzej mówiąc, środki organizacyjne i techniczne, których wdrożenie co prawda nie jest przez RODO wymagane w każdym przypadku, ale w odniesieniu do niektórych administratorów może istnieć taki obowiązek. W szczególności, dotyczyć to będzie przetwarzania danych osobowych szczególnie chronionych (wrażliwych), na masową skalę lub z użyciem nowoczesnych technologii.
Po pierwszym półroczu stosowania RODO wiemy już, które dokumenty i procedury sprawdziły się w praktyce funkcjonowania firmy, a które mogą wymagać poprawek i zmian. Możliwe, że z niektórych procedur lepiej będzie zrezygnować albo warto wprowadzić nową procedurę w obszarze, w którym wcześniej nie wydawała się ona niezbędna.
Dokumentacja powinna uwzględniać specyfikę danej organizacji i wyzwania w obszarze ochronie danych związane z danym rodzajem działalności. Ułatwieniem w tym zakresie mogą być branżowe kodeksy postępowania.
Ponieważ zasady przetwarzania danych osobowych w wybranych obszarach działalności firm mogą zmieniać wraz z nowelizacjami ustaw, należy zadbać, aby nasza wewnętrzna dokumentacja zachowywała aktualność. Najwięcej zmian w tym zakresie może wynikać z uchwalenia przez Sejm ustawy wprowadzającej przepisy ustawy o ochronie danych osobowych w związku z zapewnieniem stosowania rozporządzenia 2016/679.
Paradoksalnie, przepisy wprowadzające ustawę o ochronie danych osobowych nie zostały jeszcze uchwalone, mimo że sama ustawa weszła w życie 25 maja 2018 r.