Obieg dokumentów w dobie RODO

Od 25 maja 2018 r. w życie wejdzie RODO. Od tego czasu trzeba będzie stosować nowe zasady i polityki związane z bezpieczeństwem i przetwarzaniem danych - dotyczy to także samego obiegu dokumentów. O co należy zadbać, aby uniknąć ewentualnych problemów prawnych?

W ofercie dystrybutorów znajdziemy dużo szkoleń, w tym związanych z RODO. Warto skorzystać, ponieważ wraz z wiedzą otrzymujemy informacje o konkretnych rozwiązaniach IT, które spełniają wymagania RODO. Źródło: iStock.

Do tej pory, opierając się na zasadach z polskiej Ustawy o ochronie danych osobowych (UODO) oraz przepisami wykonawczymi, firmy musiały posiadać dokumenty dokładnie określone w ustawie i rozporządzeniu. Kiedy jednak w życie wejdzie Rozporządzenie o ochronie danych osobowych (RODO), czyli od maja 2018 r., nie jest już dokładnie sprecyzowane, jakie dokumenty mamy posiadać (z małymi wyjątkami), oraz jaka ma być ich treść. Jak tłumaczy firma doradcza PwC, stworzenie właściwej dokumentacji pozostaje w gestii przedsiębiorców, a treść samych dokumentów ma być uzależniona od oceny ryzyka dla poszczególnych administratorów danych. Wymagania co do dokumentacji, które łączą UODO i RODO, to klauzule: zgody; informacyjne; w zakresie udokumentowania umowy o powierzeniu przetwarzania danych. Co zatem zostaje, a z czym się żegnamy?

Nie musimy tworzyć dokumentacji całkowicie od nowa, aby spełnić wymagania RODO. Większość dokumentów wymaganych przez UODO i wykorzystywanych dotychczas można dalej stosować, jeśli tylko dostosujemy je do wymagań RODO. Sam proces przejścia ze starej dokumentacji na nową można sprowadzić do czterech kroków: 1) analiza stanu obecnej dokumentacji, 2) wybór docelowej struktury dokumentacji, 3) wskazanie brakujących dokumentów i braków w dokumentach na podstawie wyników inwentaryzacji danych oraz analizy ryzyka, 4) stworzenie lub uzupełnienie dokumentacji. Co ważne, niektóre z dokumentów wypracowanych do tej pory będzie można nadal stosować. Do takich dokumentów możemy zaliczyć m.in.: upoważnienia do przetwarzania danych, ewidencję osób upoważnionych do przetwarzania oraz klauzule zgody na przetwarzanie danych osobowych. Z kolei część dokumentacji będzie trzeba zaktualizować lub zastąpić innymi dokumentami - dotyczy to m.in. polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, czy umowy powierzenia danych.

Zobacz również:

Co może zawierać dokumentacja ochrony danych według RODO?

Lista pozycji, opracowana przez ekspertów firmy doradczej PwC:

1. Strategia bezpieczeństwa

2. Polityka bezpieczeństwa

3. Rejestr operacji przetwarzania danych osobowych

4. Polityka monitorowania i reagowania na naruszenia ochrony danych

5. Rejestr incydentów

6. Polityka zarządzania ryzykiem utraty prywatności (Privacy Impact Assessment)

7. Raport z analizy (Privacy Impact Assessment)

8. Procedura zarzadzania zmianą / zarządzania projektami (Privacy by Design)

9. Plan awaryjny / polityka zarządzania kopiami zapasowymi

10. Procedura zarządzania użytkownikami i dostępem

11. Standardy zabezpieczeń

Co trzeba spełniać

Unijny regulator pozostawił w rękach przedsiębiorców wdrażających RODO dostosowanie struktury, rodzajów i liczby dokumentów do realnych potrzeb swojej działalności. Aby proces dostosowywania dokumentacji przebiegł sprawnie, trzeba zaplanować mechanizmy dokonywania zmian i uwzględnić je w istniejących procesach biznesowych. Tu ważne jest, aby pamiętać, że obieg dokumentów nie może obejść się bez szczegółowego zidentyfikowania odbiorców poszczególnych dokumentów - to jest jednak standardem w większości firm. Jak zauważają eksperci PwC, RODO nie musi wiązać się z rewolucją u danego administratora danych, jeśli ten świadomie i odpowiedzialnie wykorzystywał istniejącą dokumentację do tej pory.

Podmioty, które nie podporządkują się rozporządzeniu RODO, mogą być ukarane grzywną do 20 mln euro lub 4 proc. globalnych rocznych obrotów.

Decydując się na rozwiązania do obiegu dokumentów trzeba na pewno uwzględnić i przeanalizować ryzyko. Dopiero po tych działaniach zyskujemy wiedzę potrzebną do oceny, jakiego typu rozwiązanie IT sprosta naszym wymaganiom. Cały czas musimy przy tym pamiętać, że będziemy zobligowani wykazać na żądanie urzędu, że określone rozwiązania zostały dobrane z uwzględnieniem zgodności z zasadami przetwarzania danych i w pełni tym zasadom odpowiadają.

Na administratorze danych spoczywa obowiązek posiadania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Pierwszy dokument to nic innego, jak wskazanie środków bezpieczeństwa i procedur bezpiecznego przetwarzania danych - jest to również miejsce na wykaz fizycznych i technicznych zabezpieczeń, miejsc, gdzie dane są przetwarzane, a także programów wykorzystywanych do ich przetwarzania. Z kolei instrukcja ma porządkować procedury w zakresie nadawania uprawień, uwierzytelniania, czy też tworzenia narzędzi programowych. Wybierając dostawcę systemu do obiegu dokumentów, czy też podczas projektowania takiego systemu na zasadach „szycia na miarę”, warto uwzględnić te zasady możliwie najwcześniej.

Zasady określone w RODO

Co trzeba wiedzieć:

• firmy i instytucje muszą posiadać wyraźną zgodę na zbieranie wszystkich danych, które gromadzą; administratorzy danych muszą być w stanie wykazać istnienie takiej zgody, która może być w każdej chwili wycofana

• klienci muszą mieć prawo do bycia zapomnianym

• klienci muszą mieć prawo do przeniesienia swoich danych do innego usługodawcy

• klienci muszą mieć prawo dowiedzieć się, kiedy ich dane dostały się w niepowołane ręce

• należy zapewnić objaśnienie zasad polityki ochrony prywatności przejrzystym i zrozumiałym językiem;

• istotna zmiana, o której należy wspomnieć, dotyczy profilowania danych - regulacja wprowadza to pojęcie i wskazuje też zagrożenia z niego wynikające

Co trzeba zrobić:

• wykazać, że możemy spełnić wymagania rozporządzenia

• wprowadzić procedury wdrażania zmiany

• posiadać wyraźną zgodę na zbieranie wszystkich danych, które gromadzimy

• zadbać o to, aby zasady polityki prywatności były objaśnione w przejrzysty sposób

• powołać inspektora ochrony danych (tylko podmioty zatrudniające powyżej 250 pracowników)

Do czego klienci mają prawo:

• do bycia zapomnianym

• do przeniesienia swoich danych do innego usługodawcy

• dowiedzieć się, kiedy ich dane dostały się w niepowołane ręce

Czynności prewencyjne

W firmach warto wprowadzić dodatkowe dokumenty wewnętrzne, w tym instrukcje postępowania w sytuacjach potencjalnych zagrożeń. Przykładowo, administrator powinien wyczerpująco uregulować konsekwencje pobrania służbowej poczty e-mail na prywatne urządzenia mobilne pracowników, czy też sposób postępowania w przypadku pozostawienia wydruków w nieodpowiednim miejscu, tak, że mogłyby one trafić w niepowołane ręce.

Tego typu sytuacje mogą się zdarzać i powinny być ujęte w procedurach operacyjnych firmy. RODO wymaga zresztą, aby przewidywać takie scenariusze i administrator powinien mieć przygotowane wcześniej instrukcje na wypadek ich zaistnienia. Trzeba zatroszczyć się o to, aby opracować dokumentację związaną z samym obiegiem dokumentów i zapewnić im należytą poufność.

Bardzo ważne jest, aby przeszkolić pracowników zajmujących się przetwarzaniem danych osobowych i odpowiednio dostosować systemy IT do unijnych wymagań. Dotyczy to szczególnie danych nieustrukturyzowanych, takich jak dokumenty, e-maile, pliki graficzne itp. Jeżeli w firmie nie mamy odpowiednich specjalistów, zalecamy współpracę z firmą doradczą czy prawną, aby stworzyć odpowiedni plan działania - to istotne, tym bardziej że wiele firm ciągle nie jest świadomych, że rozporządzenie dotyczy również ich działalności. Z badania IDC wynika, że aż 25 proc. europejskich firm jest przekonanych, że nie muszą dostosowywać się do RODO (mimo, że jednak muszą).

Wprowadzenie zmian jest o tyle trudne, że nie ma pojedynczego systemu IT, który pozwalałby wywiązać się z obowiązków dotyczących RODO. Z tego powodu działania dostosowawcze mogą przebiegać powoli i z komplikacjami. Warto tutaj zauważyć, że dystrybutorzy często oferują swoim partnerom wsparcie z zakresu RODO: nie tylko jest to dostęp do profesjonalnych szkoleń (np. organizowanych przez S4E), ale też pomoc w doborze odpowiednich rozwiązań (sprzęt i oprogramowanie), a także wiedzę, często udostępnianą bezpłatnie – przykładowo dystrybutor Arrow ECS ma tego typu materiały w j. polskim, co jest rzadkością na rynku. Jeśli współpracujemy z dystrybutorem, przygotowanie do RODO, również z zakresu obiegu dokumentów, z pewnością jest łatwiejsze.

Rejestry i dokumenty

Zarówno instytucje publiczne, jak i firmy zajmujące się kontrolą i przetwarzaniem danych osobowych, będą musiały przygotować i prowadzić rejestr przetwarzania danych osobowych, które zawierać muszą przynajmniej takie elementy:

• zgody na przetwarzanie

• podstawy prawne i powody przetwarzania danych

• adresatów danych

• kategorie danych

• rejestry naruszeń i incydentów

• procedury ochrony danych w instytucji

• procedury udostępniania danych osobowych

Jakie oprogramowanie wybrać?

Na rynku jest wiele systemów spełniających wymagania RODO, niemniej trudno wskazać złoty środek. Każda firma musi podejść do wyboru indywidualnie, uwzględniając kilka kryteriów. Co konkretnie brać pod uwagę?

Starajmy się wybierać takie rozwiązania IT, które mają zdeklarowane wsparcie dla RODO. Dzięki temu praca staje się łatwiejsza i bezpieczniejsza.

W zależności od tego, czym się zajmujemy, potrzebne będą rozwiązania spełniające następujące funkcje: archiwizacja, audyt, indeksowanie, e-mail, szyfrowanie, usuwanie danych, wyszukiwanie. I tak, jeśli np. chcemy zdecydować się na rozwiązanie zapewniające bezpieczne szyfrowanie, przechowywanie danych pomiędzy oddziałami firmy, czy też możliwość połączenia z głównym systemem zabezpieczającym dane, firma Dell EMC ma system IsilonSD Edge (storage z oprogramowaniem). Z kolei gdy interesuje nas archiwizacja danych zawierających dane osobowe, wówczas możemy skorzystać np. z platformy Commvault. Wymienione rozwiązania to oczywiście przykłady. Na rynku jest ich bardzo dużo, a wybór powinien być podyktowany własnymi oczekiwaniami i poprzedzony dokładną analizą potrzeb.