Dokumentacja ochrony danych osobowych zgodnie z zasadą rozliczalności

Dokumentacja ochrony danych osobowych zgodnie z zasadą rozliczalności oraz weryfikacja procesów pod kątem zgodności i ryzyka

PROCESY (CZYNNOŚCI) PRZETWARZANIA. Jak je wydzielać i dokumentować?

W celu wypełnienia różnych obowiązków nałożonych na administratorów na mocy ogólnego rozporządzenia o ochronie danych[1], w tym przede wszystkim obowiązków dokumentacyjnych i związanych z zapewnieniem odpowiedniego poziomu ochrony i bezpieczeństwa danych osobowych, konieczne jest dokonanie procesowego mapowania organizacji i wydzielenie czynności przetwarzania, jakich dokonuje administrator w ramach prowadzonej działalności.

W praktyce pojawiają się na tym tle różne problemy i wątpliwości, wynikające głównie z trudności w prawidłowym zrozumieniu tego pojęcia. Prawodawca unijny nie zdecydował się bowiem na wprowadzenie legalnej definicji pojęcia czynności przetwarzania, tak jak zrobił to chociażby w przypadku pojęcia „przetwarzania” wyjaśnionego w art. 4 pkt 2 RODO. Na gruncie RODO pojawiają się przy tym jeszcze inne sformułowania, jak np. „operacje przetwarzania” czy „operacje wykonywane na danych osobowych”. Wszystkie te pojęcia nie powinny być traktowane jako synonimy, lecz jako terminy mające odrębne, autonomiczne znaczenie.

Biorąc więc pod uwagę kontekst użycia pojęcia „czynność przetwarzania” w poszczególnych normach prawnych, można to pojęcie definiować jako zbiorcze oznaczenie wielu różnych operacji przetwarzania, które łączy realizacja tego samego celu. Czynności przetwarzania powinny być zatem definiowane i wyodrębniane przez pryzmat celów aktualnie realizowanych przez administratora lub takich, które administrator zamierza zrealizować w ramach własnej działalności.

Można wyróżnić trzy podstawowe metody wydzielania czynności przetwarzania. Pierwsza z nich polega na wyodrębnianiu czynności przetwarzania na podstawie działów lub sektorów funkcjonujących w wewnętrznej strukturze administratora, tj. dział marketingu, dział prawny, dział sprzedaży, dział reklamacji.

Druga metoda, zwana metodą funkcjonalną, polega na wyodrębnieniu w działalności administratora specyficznych operacji, aktywności lub przedsięwzięć o wspólnym celu, w ramach których dochodzi do przetwarzania danych osobowych.

Z kolei trzecia metoda odnosi się do zbiorów danych osobowych zgłaszanych do GIODO jeszcze na podstawie poprzednio obowiązującej dyrektywy 95/46/WE i ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Ze względu na uchylenie wspomnianych aktów prawnych i zniesienie przez RODO obowiązku rejestracji zbiorów danych osobowych obecnie metoda ta jest zdecydowanie mniej wykorzystywana.

W praktyce największe znaczenie ma metoda funkcjonalna, ponieważ pozwala ona na wydzielenie czynności przetwarzania odnoszących się do każdego aspektu prowadzonej przez administratora działalności i każdego elementu struktury, w ramach której administrator funkcjonuje. Jest ona też stosunkowo łatwa do przeprowadzenia, ponieważ wymaga od administratora przede wszystkim przeanalizowania i usystematyzowania celów przetwarzania danych osobowych w jego organizacji. Cele te jednocześnie wyznaczają różne czynności przetwarzania, jakich dokonuje administrator. W ten sposób administrator nie tylko nie pominie żadnej operacji przetwarzania danych osobowych, ale też uzyska kompleksowy przegląd wszystkich realizowanych czynności przetwarzania, co umożliwi mu dalsze rzetelne i zgodne z przepisami wypełnianie nałożonych na niego obowiązków.

Przykładem wyodrębnienia czynności przetwarzania według metody funkcjonalnej jest proces rekrutacji pracowników. W ramach tego procesu administrator dokonuje różnych operacji, jak np. ogłasza nabór na określone stanowisko pracy, przyjmuje zgłoszenia zawierające CV kandydatów, analizuje te zgłoszenia, przeprowadza rozmowy kwalifikacyjne i organizuje testy kompetencji. Wreszcie wybiera określonego kandydata, przygotowuje dokumentację potrzebną do jego zatrudnienia i usuwa dane dotyczące niewybranych kandydatów, ewentualnie przechowuje je za ich zgodą przez określony czas na potrzeby kolejnych rekrutacji.

W podobny sposób można wyodrębnić inne popularne czynności przetwarzania, tj. proces zatrudnienia, produkcji, sprzedaży produktów lub usług, obsługi klienta itp. Wszystkie tego typu czynności wydzielane są w oparciu o cel, jaki przyświeca realizacji danego procesu (np. zatrudnienie pracownika, wyprodukowanie produktu, świadczenie usługi itd.).

REJESTR CZYNNOŚCI PRZETWARZANIA. Jak go prowadzić w różnych formach?

Wydzielenie poszczególnych czynności przetwarzania powinno być przez administratora odpowiednio udokumentowane. Obowiązek ten wynika wprost z art. 30 ust. 1 RODO, mocą którego każdy administrator został zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada. Podobny obowiązek na mocy art. 30 ust. 2 RODO został nałożony także na podmioty przetwarzające dane osobowe w imieniu administratora.

W rejestrze czynności przetwarzania administrator powinien zawrzeć informacje o celach przetwarzania, kategoriach przetwarzanych danych osobowych i kategoriach osób, których dane dotyczą, kategoriach odbiorców danych osobowych, transferach danych do państwa trzeciego lub organizacji międzynarodowej, okresach retencji oraz o tym, jakie techniczne i organizacyjne środki bezpieczeństwa zostały wdrożone. W każdym rejestrze powinny się ponadto znaleźć dane identyfikujące samego administratora oraz współadministratorów, a także, gdy ma to zastosowanie, dane dotyczące ustanowionego przedstawiciela lub inspektora ochrony danych.

W art. 30 ust. 3 RODO wskazano, że zarówno rejestr czynności przetwarzania danych osobowych, jak i rejestr kategorii czynności przetwarzania dokonywanych przez procesora w imieniu administratora, mogą mieć formę pisemną, w tym elektroniczną. W praktyce najdogodniejszą formą prowadzenia rejestru jest właśnie forma elektroniczna, gdyż pozwala ona na łatwą modyfikację i aktualizację wprowadzonych do rejestru informacji. Poza tym, w celu prowadzenia rejestru administrator może wykorzystać różne narzędzia informatyczne, takie jak odpowiednie aplikacje lub formularze, za pomocą których usystematyzuje wszystkie dane zawarte w rejestrze.

Przykładowo, administrator może stworzyć rejestr czynności przetwarzania danych osobowych wykorzystując do tego formularze dostępne w arkuszach kalkulacyjnych albo posługując się dedykowanym narzędziem, takim jak Privacy Impact Assessment francuskiego organu nadzorczego – Commission Nationale de l'Informatique et des Libertés (CNIL)[2] czy aplikacja GDPR Risk Tracker stworzona przez Lubasz i Wspólnicy - Kancelaria Radców Prawnych Sp. K.[3] Pierwsze z narzędzi pozwala w sposób opisowy dokonać oceny ryzyka, drugie zaś jest narzędziem analitycznym, badającym ryzyko związane z przetwarzaniem oraz wpływ na ochronę danych w sposób ilościowy, a także odpowiadającym na pytanie, czy dane przetwarzane są zgodnie z przepisami.

OCENA ZGODNOŚCI. Jakie elementy składają się na ocenę zgodności procesów przetwarzania z RODO?

Ocena zgodności procesów przetwarzania wymaga przeprowadzenia wieloaspektowej analizy. Należy ją zacząć właśnie od wyodrębnienia różnych czynności i sporządzenia rejestru czynności przetwarzania, opisanego powyżej. W ten sposób administrator nie tylko uzyska ogólny przegląd wszystkich czynności przetwarzania, ale przede wszystkim łatwiej przeprowadzi ocenę zgodności przetwarzania z RODO.

Każdy rejestr czynności przetwarzania, niezależnie od tego, czy jest prowadzony w formie arkusza kalkulacyjnego, czy za pośrednictwem profesjonalnych narzędzi typu aplikacja GDPR Risk Tracker, zawiera najważniejsze informacje związane z przetwarzaniem danych osobowych w organizacji. Z kolei sposób usystematyzowania tych informacji może posłużyć administratorowi jako wyznacznik poszczególnych etapów analizy w ramach przeprowadzania oceny zgodności przetwarzania z RODO.

Administrator powinien zatem w pierwszej kolejności zweryfikować, czy w ramach prowadzonych czynności przetwarzania realizowane są zasady przetwarzania danych osobowych, takie jak: zasada legalności, minimalizacji danych, przejrzystości, ograniczenia celu, prawidłowości i ograniczenia czasu przechowywania danych osobowych. W tym zakresie administrator powinien sprawdzić m.in., czy przetwarzanie każdej z danych na potrzeby określonej czynności przetwarzania znajduje podstawę prawną, czy przetwarzane dane nie są nadmiarowe, czy są one prawidłowe i w razie potrzeby uaktualniane, czy nieprawidłowe dane są usuwane lub podlegają sprostowaniu, czy dane osobowe są przetwarzane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz czy nie są przetwarzane w sposób niezgodny z tymi celami.

Administrator powinien się upewnić, czy w każdym kanale pozyskiwania danych osobowych jest spełniany obowiązek informacyjny z art. 13 lub 14 RODO, jak również to, czy osoby, których dane są przetwarzane mają zapewnioną możliwość realizacji swoich praw wynikających z RODO. Ponadto, administrator powinien też sprawdzić, czy dane nie są przechowywane dłużej aniżeli jest to potrzebne do celów, w jakich są przetwarzane, oraz czy nie przechowuje danych osobowych „na wszelki wypadek”.

Obowiązkiem administratora jest również sprawdzenie, czy zgodność przetwarzania z RODO występuje w zakresie m.in. powierzenia przetwarzania danych osobowych, ujawniania danych odbiorcom, transferowania danych poza Europejski Obszar Gospodarczy oraz przyjętej polityki retencji danych. W odniesieniu do powierzenia przetwarzania niewątpliwie kluczową kwestią jest wybór procesora, który daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO i chroniło prawa podmiotów danych, oraz zawarcie z nim umowy powierzenia przetwarzania danych zawierającej wszystkie elementy wskazane w art. 28 ust. 3 RODO. Równie ważna jest weryfikacja pozostałych odbiorców danych osobowych, w szczególności pod kątem zakresu, sposobu i podstaw ujawniania danych osobowych.

Administrator powinien też ustalić, czy w ramach czynności przetwarzania dochodzi do transferowania danych osobowych do państw trzecich, a jeśli tak, to na jakiej podstawie prawnej wskazanej w RODO realizowane są takie transfery. Wreszcie, administrator powinien przeanalizować stosowaną politykę retencji danych, oceniając czy prawidłowo zostały ustalone terminy usuwania danych osobowych i zgodnie z ciążącymi na nim obowiązkami prawnymi.

ANALIZA RYZYKA I DPIA. Jakie czynniki uwzględniać przy prowadzeniu analizy ryzyka oraz DPIA z RODO?

Wyznaczanie ryzyka, niezależnie od przyjętej metody, opiera się na szacowaniu lub obliczaniu: wagi danych, zagrożeń mogących wystąpić w trakcie wykonywania procesów, które podlegają analizie ryzyka, skutku, który dane ryzyko wywoła, a także prawdopodobieństwa materializacji ryzyka. Wszystkie powyższe czynniki wpływają bezpośrednio na wielkość ryzyka. Im większa ich wartość, tym większa ostatecznie wartość ryzyka. Ryzyko można obniżać poprzez stosowanie odpowiednich zabezpieczeń, rozumianych szeroko jako: środki techniczne, organizacyjne, informatyczne, ale także procedury, dobre praktyki, nawyki, zachowania, odpowiednio propagowana wiedza i szkolenia, itp.

Istotą prawidłowo przeprowadzonej analizy ryzyka z RODO jest jej właściwe osadzenie w kontekście przetwarzania danych osobowych, dla którego podstawa zawarta jest w uprzednio sporządzonym rejestrze czynności przetwarzania. Analizę ryzyka przeprowadzać należy dla każdej z wydzielonych w rejestrze czynności przetwarzania, a następnie w rejestrze tym odzwierciedlić decyzje podjęte przez administratora a dotyczące wdrożonych, adekwatnych do dokonanej oceny ryzyka, środków technicznych i organizacyjnych mających zapewnić zgodność i bezpieczeństwo przetwarzania danych.

Podkreślenia wymaga, że ocena ryzyka na gruncie RODO nie powinna być przeprowadzana z perspektywy organizacji administratora, lecz podmiotów danych, czyli osób, których dane mają być przetwarzane. Badane ryzyko nie będzie bowiem bezpośrednim ryzykiem administratora (np. ryzykiem utraty wizerunku, strat finansowych, jakichkolwiek konsekwencji prawnych), ale ryzykiem, jakie przetwarzanie może powodować dla podstawowych praw lub wolności podmiotów danych. W konsekwencji, wagę danych należy rozumieć wąsko – jako zestaw danych osobowych, które są przetwarzane (nie bierze się przy tym pod uwagę innych danych posiadanych przez administratora, jak np.: informacji o charakterze nieosobowym, know-how, patentów, dóbr intelektualnych itp.).

Bezpłatny webinar Dokumentacja ochrony danych osobowych

Zagrożenia, które pojawią się podczas przetwarzania danych osobowych powinny być właściwe określone i przypisane względem realizowanych czynności przetwarzania[4], a nadto odzwierciedlać faktyczne konsekwencje, które mogą dotknąć osoby, których dane są przetwarzane, albowiem skutek wystąpienia tych zagrożeń będzie oddziaływać przede wszystkim na podmioty danych. Wreszcie samo ryzyko powinno być właściwie zdefiniowane, ponieważ RODO jasno precyzuje, że należy oszacować ryzyko zniszczenia, utraty, modyfikacji, ujawnienia oraz nieuprawnionego dostępu do danych.

Niemniej istotną kwestią jest powtarzalność i miarodajność analizy. W praktyce okazuje się, że często sama metoda analizy, jej wybór i właściwe dostrojenie, ważniejsze jest od samej ocenie ryzyka. Łatwo zatracić się w nieistotnych detalach i stracić z oczu istotę rzeczy.

Należy też pamiętać, że analiza ryzyka nie jest procesem, który można w pełni zobiektywizować. Nawet ilościowe metody analizy ryzyka mogą być obarczone dozą subiektywizmu. Podobnie jest w przypadku najbardziej popularnych metod mieszanych, w których stosuje się rozmaite skale opisowe do ilościowego zobrazowania zjawisk – uzyskiwane za ich pomocą oceny są wysoce zależne od zaproponowanych skal, zestawu danych wejściowych, okoliczności przeprowadzania badań, a także samych uczestników prowadzących ocenę. Oznaczać to może, że bez narzucenia warunków umożliwiających powtarzalność „środowiska badań”, poszczególne analizy mogą być niemiarodajne, a także w żaden sposób nieporównywalne. W związku z tym niewątpliwie administrator, dokonując analizy ryzyka, powinien dążyć do unifikacji skal, zestawów danych, sposobów wyliczania konkretnych wartości, tak aby wyniki analiz różnych procesów biznesowych były ze sobą porównywalne. Jest to ważne też z tego względu, że analiza ryzyka jest działaniem ciągłym i powtarzalnym, wobec czego wyniki analizy dotyczącej tych samych procesów, ale wykonywanej w różnym czasie, powinny jednoznacznie wskazywać, jakie są trendy, tzn. jak zmienia się ryzyko w czasie dla danego procesu.

Reasumując: za każdym razem, gdy administrator przeprowadza analizę ryzyka, powinien uwzględniać wszystkie opisane wyżej aspekty po to, aby przede wszystkim zdefiniować i zbadać odpowiednie ryzyka, uwzględniać perspektywę podmiotu danych, a także stworzyć warunki dla powtarzalności i miarodajności samej analizy.

Stosując tak zdefiniowaną metodę analizy ryzyka, warto też zwrócić uwagę na konieczność przeprowadzenia oceny skutku dla ochrony danych (DPIA) w niektórych przypadkach przetwarzania danych osobowych. Nie jest łatwo rozdzielić analizę ryzyka od oceny skutków, chociażby ze względu na fakt, iż ujawnione wysokie ryzyko związane z przetwarzaniem danych musi prowadzić do wykonania DPIA. Sam skutek przetwarzania danych jest zaś elementem wyznaczania ryzyka. Warto zatem spojrzeć na DPIA jako pogłębioną analizę ryzyka, przy jednoczesnym założeniu, że skutek przetwarzania powinien być rozpatrywany głównie z perspektywy podmiotu danych.

___