Profesjonalna Dokumentacja RODO dla Twojej firmy

Powinniśmy chronić osoby, których dane osobowe przetwarzamy lub projektujemy przetwarzanie a zatem ochronę uwzględnić musimy z jednej strony już na etapie projektowania takiego przetwarzania jednocześnie pilnując by ochrona ta była zapewniona domyślnie, stąd nazwa: procedura ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Procedurę stosujemy  w przypadku projektowania nowych czynności lub operacji przetwarzania, modyfikacji lub zmiany istniejących czynności i zawsze w sytuacji gdy dla tych nowych czynności lub operacji współczynnik ryzyka jest wysoki. Procedurę należy więc poprzedzić oceną ryzyka. 

Procedura odnosi się do ryzyk w kontekście naruszenia praw i wolności osób, których dane przetwarzamy. W szczególności ryzyk: naruszenia prawa do prywatności, naruszenia dobrego imienia, poufności danych oraz kradzieży tożsamości.

Procedura pozwala nam na:

• Identyfikację ryzyka wynikającego z planowanych lub stosowanych czynności przetwarzania danych osobowych z uwzględnieniem poszczególnych operacji przetwarzania,
• Ocenę ryzyka wynikającego z planowanych lub stosowanych operacji przetwarzania,
• Postępowanie z ryzykiem w celu jego redukcji,
• Monitorowanie ryzyka,
• Informowanie o ryzyku.

Zastosowanie procedury pozwala nam zidentyfikować i ocenić skutek dla konkretnej czynności przetwarzania danych. Dla każdej czynności powinniśmy wykonać tzw. test konieczności wykonania oceny. A zatem procedura pozwala nam na:

• określenie konieczności wykonania oceny;
• przygotowanie dokumentacji związanej z oceną skutków dla ochrony danych;
• podjęcie decyzji o rozpoczęciu, modyfikacji lub zaniechaniu używania ocenianych operacji przetwarzania;
• podjęcie decyzji o uruchomieniu procedury uprzednich konsultacji z organem nadzorczym;
• gromadzenie zapisów z ocenianych operacji przetwarzani celem spełnienia obowiązku rozliczalności.

Stosowanie procedury zapewnia nam zgodność procesu przechowywania danych osobowych z przepisami o ochronie danych osobowych, poprzez:

• ograniczenie okresu przechowywania danych osobowych do ścisłego minimum,
• ustalenie terminu usuwania danych osobowych i kryteriów ustalania tego terminu lub okresowego przeglądu.

Procedurę stosujemy do każdej czynności przetwarzania danych i jej zastosowanie w praktyce oznacza, że należy:

• sprawdzić czas przechowywania danych osobowych;
• rozważyć cel lub cele, dla których przechowujemy informacje, aby zdecydować, czy (i jak długo) je zachować;
• bezpiecznie usuwać informacje, które nie są już potrzebne;
• aktualizować, archiwizować lub bezpiecznie usuwać informacje, jeśli są one nieaktualne;
• ustalając okres retencji należy wziąć pod uwagę:
  • obecną i przyszłą wartość informacji;
  • koszty, ryzyko i zobowiązania związane z przetwarzaniem danych;
  • realną możliwość zapewnienia, by dane były aktualne.

Przepisy o ochronie danych osobowych dają osobom fizycznym szereg praw, z których mogą korzystać zawsze gdy przetwarzamy ich dane. Oto podstawowe z nich:

• prawo dostępu do danych i powiązane z nim prawo do informacji;
• prawo do sprostowania danych;
• prawo do usunięcia danych („prawo do bycia zapomnianym”);
• prawo do ograniczenia przetwarzania;
• prawo do przenoszenia danych;
• prawo do sprzeciwu.

Prawa te wiążą się z obowiązkami i sposobami w jakie będziemy je realizować. Wszystkie szczegółowo opisuje procedura.

Przepisy prawa zobowiązują nas do korzystania wyłącznie z usług takich podmiotów przetwarzających powierzone im dane osobowe, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Weryfikujemy zatem u potencjalnego kontrahenta następujące środki techniczne, organizacyjne i prawne:

• pseudonimizację i szyfrowania danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych;
• przestrzeganie zasady ochrony danych w fazie projektowania oraz domyślnej ochrony danych (privacy by design i privacy be default);
• przyjętej u potencjalnego kontrahenta polityki bezpieczeństwa danych osobowych i instrukcji bezpieczeństwa systemów informatycznych, w szczególności w zakresie ich przejrzystości oraz zgodności z obowiązującym prawem.

Weryfikację taką zobowiązani jesteśmy udokumentować, co m.in. zapewnia nam zastosowanie procedury wyboru kontrahenta.

Przepisy zobowiązują nas do:

• zapewnienia odpowiednich mechanizmów pozwalających na zgłaszanie naruszeń do odpowiedniego organu w wyznaczonym czasie;
• ustalenia osób odpowiedzialnych za naruszenia i odpowiednią reakcję na działania niepożądane.

W praktyce oznacza to, że musimy:

• określić czym są naruszenia;
• określić osoby odpowiedzialne za monitorowanie naruszeń;
• określić sposób zgłaszania naruszeń do odpowiedniego organu i wyznaczonym czasie;
• należy wyznaczyć osoby odpowiedzialne za usuwanie skutków naruszeń ochrony danych osobowych;
• należy określić sposób informowania osób, których dane dotyczą o działaniach niepożądanych.

Procedurę stosujemy zatem w sytuacji, gdy nastąpiło naruszenie danych osobowych co w praktyce oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem:

• zniszczenia,
• utracenia,
• zmodyfikowania,
• nieuprawnionego ujawnienia
• nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Test równowagi stosujemy zawsze gdy jako podstawę prawną stosujemy prawnie uzasadniony interes administratora, czyli art. 6 ust. 1 lit. f. Z jednej strony daje nam on gwarancję, że stosując tę metodę nie naruszamy praw i wolności osoby oraz realizację zasady rozliczalności z drugiej.

Procedura zawiera szablon do przeprowadzenia OPUI (Oceny Prawnie Uzasadnionego Interesu), która staje się dla nas dokumentem gwarantującym rozliczalność przy jednoczesnym podnoszeniu jakości systemu ochrony danych osobowych w organizacji.